美文网首页mongoDB
单机mongo安装和权限问题解决

单机mongo安装和权限问题解决

作者: Kavim | 来源:发表于2017-05-19 19:44 被阅读320次

    本文记录了在centos7.3上安装mongodb3.4,配置优化,设置权限,并解决了修改数据目录后,由文件权限导致的mongo启动问题。

    一:mongo安装

    1、创建yum安装源
    创建 /etc/yum.repos.d/mongodb-org-3.4.repo

    [mongodb-org-3.4]
    name=MongoDB Repository
    baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
    gpgcheck=1
    enabled=1
    gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc
    

    2、yum安装

    sudo yum install -y mongodb-org
    

    参考文档:centos 安装mongo

    3、rpm安装
    有时官方的镜像访问特别缓慢,可以通过阿里云的mongo rpm方式下载,然后手动安装。
    安装过程:下载rpm包,总共4个rpm包,选择版本为3.4,包括mongodb-org-mongos、mongodb-org-server、mongodb-org-shell、mongodb-org-tools、mongodb-org

    安装rpm包,包直接有依赖,需要安装顺序安装

    rpm -i mongodb-org-server-3.4.0-1.el7.x86_64.rpm 
    rpm -i mongodb-org-shell-3.4.0-1.el7.x86_64.rpm 
    rpm -i mongodb-org-mongos-3.4.0-1.el7.x86_64.rpm 
    rpm -i mongodb-org-tools-3.4.0-1.el7.x86_64.rpm 
    rpm -i mongodb-org-3.4.0-1.el7.x86_64.rpm
    

    rpm安装与yum安装存在mongo管理上的问题,yum安装能够使用systemctl来管理mongo的运行状态(启动,关闭,重启,状态查询),rpm安装在没有配置//usr/lib/systemd/system/mongod.service的情况下只能通过mongo自带的命令管理运行状态。
    mongod命令操作

    关闭:mongod --config /etc/mongod.conf --shutdown
    启动:mongod --config /etc/mongod.conf 
    

    systemctl管理命令

    systemctl (start|restart|stop|status) mongod.service
    一般需要数据库开机自动运行
    systemctl enable mongod.service
    

    重要文件位置:
    配置文件:/etc/mongod.conf
    日志文件:/var/log/mongodb/mongod.log
    数据文件:/var/lib/mongo

    二:优化配置

    关闭THP

    自CentOS6版本开始引入了Transparent Huge Pages(THP),从CentOS7版本开始,该特性默认就会启用。尽管THP的本意是为提升内存的性能,不过某些数据库厂商还是建议直接关闭THP(比如说Oracle、MariaDB、MongoDB等),否则可能会导致性能出现下降。
    首先检查THP的启用状态:

    cat /sys/kernel/mm/transparent_hugepage/defrag
    [always] madvise never
    cat /sys/kernel/mm/transparent_hugepage/enabled
    [always] madvise never
    这个状态就说明都是启用的。
    

    禁用THP,编辑rc.local文件(http://www.jb51.net/LINUXjishu/115972.html):

    vim /etc/rc.d/rc.local
    增加下列内容:
    if test -f /sys/kernel/mm/transparent_hugepage/enabled; then
        echo never > /sys/kernel/mm/transparent_hugepage/enabled
    fi
    if test -f /sys/kernel/mm/transparent_hugepage/defrag; then
        echo never > /sys/kernel/mm/transparent_hugepage/defrag
    fi
    

    保存退出,然后赋予rc.local文件执行权限:

    chmod +x /etc/rc.d/rc.local
    

    最后重启系统,以后再检查THP应该就是被禁用了

    cat /sys/kernel/mm/transparent_hugepage/enabled
        always madvise [never]
    cat /sys/kernel/mm/transparent_hugepage/defrag 
        always madvise [never]
    

    关闭数据库文件所在硬盘的 atime

    禁止系统对文件的访问时间更新会有效提高文件读取的性能。这个可以通过在 _etc_fstab 文件中增加 noatime 参数来实现

    vim /etc/fstab
    /dev/sdb1     /mnt/data1       xfs     noatime        0 0
    

    修改完文件后重新 mount就可以:

    mount -o remount /mnt/data1 
    

    提高默认文件描述符和进程/线程数限制

    Linux默认的文件描述符数和最大进程数对于MongoDB来说一般会太低。建议把这个数值设为64000。因为MongoDB服务器对每一个数据库文件以及每一个客户端连接都需要用到一个文件描述符。如果这个数字太小的话在大规模并发操作情况下可能会出错或无法响应。 你可以通过以下命令来临时修改这些值(只对当前终端生效):

    ulimit -n 64000
    ulimit -u 64000
    

    永久生效需要在/etc/security/limits.conf配置

    /etc/security/limits.conf
    mognod  -       nofile  32768
    mognod  -       nproc   32000
    

    三:安全设置

    mongodb默认bindIp为127.0.0.1,端口为27017,没有进行账户设置的。去年出现很多mongodb由于没有设置密码之类的被攻破,数据被盗的情况。因此需要对mongo进行安全的设置 。
    初步安全措施为修改默认端口,创建账户开启权限认证机制。
    etc/mongodb.conf中修改port为其它端口。
    设置账号:

    use admin;
    db.createUser({"user":"root","pwd":"xxxx","roles":[{"role":"root","db":"admin"}]})
    

    开启权限验证:

    security:
        authorization:true
    

    Mongo还可以给不同的数据库创建不同的账号,每个账号分配不同的权限,实现更加细粒度的权限控制。具体可参看mongoDB Security

    设置账号后,可以使用账户和密码登录 mongo
    第一种方式:

    mongo —port 27071 -u “xxx” -p “xxxx” —authenticationDatabase “admin”
    

    第二种方式:

    use admin
    db.auth(“xxx”,”xxxx”)
    

    四:权限问题解决

    安装好后,默认的数据目录位于/var/lib/mongo,由于存储的数据量大,需要修改默认的存储路径为/mnt/data1
    修改目录后会遇到权限的问题,解决的关键点如下:
    1、selinux,通过查看/var/log/message可以知道,selinux阻止访问
    2、用户和用户组
    3、文件夹权限
    官方给出的说明:

    On RHEL 7.0, if you change the data path, the default SELinux  
     policies will prevent mongod from having write access on the new  
     data path if you do not change the security context.  
    

    默认目录/var/lib/mongo含有mongod_var_lib_t,这样selinux的安全策略有关。

    解决方法是修改对应文件夹的security context

    chcon -Rv --type=mongod_var_lib_t /mnt/data1/mongo
    

    跳过selinux的障碍后,需要继续解决新建目录的用户和用户组,以及文件夹的权限问题,保持与之前的目录一致。接着就能启动mongo.

    三:参考资料:

    chcon命令_Linux chcon 命令用法详解:修改对象(文件)的安全上下文
    mongoDB Security
    centos 安装mongo
    MongoDB在Linux下常用优化设置 | MongoDB中文社区

    相关文章

      网友评论

        本文标题:单机mongo安装和权限问题解决

        本文链接:https://www.haomeiwen.com/subject/rcxuxxtx.html