坑爹的 MongoDB副本部署经历

最新推荐文章于 2026-02-23 00:03:30 发布
原创 最新推荐文章于 2026-02-23 00:03:30 发布 · 450 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#mongodb #数据库

官方文档:

https://www.mongodb.com/zh-cn/docs/v8.0/tutorial/deploy-replica-set/

其实过程不复杂, 但是存在一些权限的问题. 而且 mongo的错误提示并不友好, 甚至还有来自官方的坑. 过程可分为 3 步:

  1. 生成keyFile
  2. 编写docker-compose.yml并启动容器
  3. 查看 mongo 副本模式状态

mongodb 版本: 8.0.14

生成 keyFile

这步很关键, 因为8.x 版本开启副本模式强制依赖密钥文件. 否则你会得到下面的报错:

BadValue: security.keyFile is required when authorization is enabled with replica sets

坑爹的官方文档里当然不会和你讲这一步的必要性. 生成的命令很简单:

# 生成密钥文件(权限必须为 600 或更严格)
openssl rand -base64 756 > mongo-keyfile
chmod 600 mongo-keyfile
chown 101:101 mongo-keyfile

其中 chmodchown 必须要执行, 否则启动阶段会出现

error opening file: /data/mongo-keyfile: bad file

原因有二:

  • mongodb 会检查keyFile 权限是否为600, 否则会出现权限错误. 因此不能粗暴的把权限设置为777
  • 要求权限为600-rw------- , 因此文件 owner 需要和镜像中保持一致.

那么镜像中使用的是什么用户呢? 第一反应去看看 mongod 的 dockerfile 怎么写的:

...
FROM ubuntu:noble

# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added
RUN set -eux; \
	groupadd --gid 999 --system mongodb; \
	useradd --uid 999 --system --gid mongodb --home-dir /data/db mongodb; \
	mkdir -p /data/db /data/configdb; \
	chown -R mongodb:mongodb /data/db /data/configdb
...

dockerfile 链接 mongo dockerfile

原来是UID=999, GID=999, 那为什么上面的命令是101:101 呢? 是不是写错了 ?
是的, 坑爹的 dockerfile 又误导了我, 折腾了半天最后打印当前的用户的时候发现根本不是999 . 我突然释怀的笑了, 哈哈哈

编写 dockerfile & 启动容器

先看看目录结构:

tree .
.
├── docker-compose.yml
├── mongo-keyfile
└── scripts
    └── init-replica.js

dockerfile

version: '3.8'

services:
  # MongoDB 主节点
  mongo1:
    image: mongodb/mongodb-community-server:8.0.14
    container_name: mongo1
    restart: always
    environment:
      - MONGODB_INITDB_ROOT_USERNAME=admin
      - MONGODB_INITDB_ROOT_PASSWORD=password
    ports:
      - "27017:27017"
    # Mongodb UserID:GroupID
    #user: "101:101"  # 使用宿主机当前用户的 UID/GID
    volumes:
      - mongo1_data:/data/db
      - ./scripts:/scripts
      - ./mongo-keyfile:/data/mongo-keyfile
    networks:
      - mongo_cluster
    # command: /bin/bash -c 'id && id mongodb && ls -ld /data/db && touch /data/db/test && ls -l /data/db && mongod --replSet rs0 --bind_ip_all --port 27017 --keyFile /data/mongo-keyfile'
    command: mongod --replSet rs0 --bind_ip_all --port 27017 --keyFile /data/mongo-keyfile

  # MongoDB 从节点 1
  mongo2:
    image: mongodb/mongodb-community-server:8.0.14
    container_name: mongo2
    restart: always
    environment:
      - MONGODB_INITDB_ROOT_USERNAME=admin
      - MONGODB_INITDB_ROOT_PASSWORD=password
    ports:
      - "27018:27017"
    volumes:
      - mongo2_data:/data/db
      - ./mongo-keyfile:/data/mongo-keyfile
    networks:
      - mongo_cluster
    command: mongod --replSet rs0 --bind_ip_all --port 27017 --keyFile /data/mongo-keyfile

  # MongoDB 从节点 2
  mongo3:
    image: mongodb/mongodb-community-server:8.0.14
    container_name: mongo3
    restart: always
    environment:
      - MONGODB_INITDB_ROOT_USERNAME=admin
      - MONGODB_INITDB_ROOT_PASSWORD=password
    ports:
      - "27019:27017"
    volumes:
      - mongo3_data:/data/db
      - ./mongo-keyfile:/data/mongo-keyfile
    networks:
      - mongo_cluster
    command: mongod --replSet rs0 --bind_ip_all --port 27017 --keyFile /data/mongo-keyfile

  # 初始化副本集的临时容器
  mongo-init-replica:
    image: mongodb/mongodb-community-server:8.0.14
    container_name: mongo-init-replica
    volumes:
      - ./scripts:/scripts
    depends_on:
      - mongo1
      - mongo2
      - mongo3
    networks:
      - mongo_cluster
    command: >
      bash -c "
        sleep 10 &&
        mongosh --host mongo1:27017 -u admin -p password --authenticationDatabase admin /scripts/init-replica.js
      "

networks:
  mongo_cluster:
    driver: bridge

volumes:
  mongo1_data:
  mongo2_data:
  mongo3_data:

初始化脚本

rs.initiate({
  _id: "rs0",
  members: [
    { _id: 0, host: "mongo1:27017" },
    { _id: 1, host: "mongo2:27017" },
    { _id: 2, host: "mongo3:27017" }
  ]
});

// 等待副本集初始化完成
sleep(2000);

// 查看副本集状态
rs.status();

启动容器

docker-compose up -d

验证

  1. 进入主节点容器
# 进入主节点容器
docker exec -it mongo1 mongosh -u admin -p password --authenticationDatabase admin

# 在 mongo shell 中查看状态
rs.status()
  1. 验证主从关系:
# 在 mongo shell 中执行
rs0 [direct: primary] test> rs.isMaster()
{
  topologyVersion: {
    processId: ObjectId('68d53800e2f75911db84c2e0'),
    counter: Long('6')
  },
  hosts: [ 'mongo1:27017', 'mongo2:27017', 'mongo3:27017' ],
  setName: 'rs0',
  setVersion: 1,
  ismaster: true,
  secondary: false,
  primary: 'mongo1:27017',
  me: 'mongo1:27017',
  electionId: ObjectId('7fffffff0000000000000002'),
  lastWrite: {
    opTime: { ts: Timestamp({ t: 1758807369, i: 1 }), t: Long('2') },
    lastWriteDate: ISODate('2025-09-25T13:36:09.000Z'),
    majorityOpTime: { ts: Timestamp({ t: 1758807369, i: 1 }), t: Long('2') },
    majorityWriteDate: ISODate('2025-09-25T13:36:09.000Z')
  },
  maxBsonObjectSize: 16777216,
  maxMessageSizeBytes: 48000000,
  maxWriteBatchSize: 100000,
  localTime: ISODate('2025-09-25T13:36:09.953Z'),
  logicalSessionTimeoutMinutes: 30,
  connectionId: 67,
  minWireVersion: 0,
  maxWireVersion: 25,
  readOnly: false,
  ok: 1,
  '$clusterTime': {
    clusterTime: Timestamp({ t: 1758807369, i: 1 }),
    signature: {
      hash: Binary.createFromBase64('dw26T3C3/4wkdyQo3IDDZPDNc9E=', 0),
      keyId: Long('7554004955699347462')
    }
  },
  operationTime: Timestamp({ t: 1758807369, i: 1 }),
  isWritablePrimary: true
}
discsthnew
关注
MongoDB集群部署(基于docker)
朱颜辞镜花辞树
08-01 1957
分片服务器存储实际的数据,每个分片服务器都是一个独立的MongoDB实例。Mongos查询配置服务器以了解数据的分布情况,并根据元数据将查询请求分发到相应的分片服务器。在分片集群中,配置服务器是不可或缺的,集群中的每个组件都需要查询配置服务器以了解数据的分布。开启认证后,秘钥文件可能读取不到或者权限不足,检查秘钥文件的所在目录,也可创建一个空的测试容器,挂载当前目录看看是否将秘钥文件挂载到容器中的对应目录下。创建一个新的容器,充当路由器,并连接到配置服务器,其中配置的ip地址为各个配置服务器。
mongodb 创建keyfile
王小工小工历程
04-08 1021
MongoDB 中,keyFile 是用于副本集成员间内部认证的密钥文件。它是一个包含随机字符串的文件,所有副本集成员必须使用相同的 keyFile 进行通信。以下是创建和配置 keyFile 的详细步骤。
mongodb权限控制
weixin_44387339的博客
04-13 4082
数据库安全性非常重要,不能轻易给普通用户写权限。一般只需要创建一个只读权限的账号,供普通用户查看即可。 mongodb权限控制方式 mongodb权限控制 mongodb用户管理权限控制 mongodb是基于RBAC权限模型来实现权限控制的。RBAC(Role-Based Access Control) 认为授权就是“Who对What进行How的操作”。也就是说,我们通过给角色授权,然后将该角色授给某个用户,这样这个用户就拥有了该角色所拥有的所有权利。所以为了帮助我们更好的管理数据库mongodb内置了很多
【mongo事务】使用docker-compose启动mongo,‘单副本模式‘实现支持事务。
qq_40315096的博客
05-17 4467
想要mongo支持事务的首要条件是mongo版本4.x 以上,且为复制集模式。由于很多时候使用mongo都不需要部署副本,但是想支持事务,所以可以使用‘单副本模式’,既能保证mongo实例只有一个,又是复制集模式。 本文使用mongo5.0.8作为样例。 本文只是日常遇到问题的小记,如有错误,欢迎指出。 首先给出docker-compose.yml version: '3.0' services: mongo: image: mongo:5.0.8 restart: unless-st
CentOS7mongodb6副本集安装部署
losersnake的博客
02-14 1349
CentOS7mongodb6副本集安装部署
mongo认证配置又出问题了?来看看这个
泡泡茶壶的博客
04-19 2963
文章目录前言正常配置过程坑1: 起mongo终端引起的权限问题坑2: 集群中配置认证引起的问题终极权限-root总结参考文档 前言 某个晴朗的工作日,我正在自己的工位上勤勤恳恳的工(hua)作(shui),此时总监突然微信我:“小刘,这会儿工作忙吗?”,我当下后背就是一凉,慌忙回复到:“总监,我这会儿闲的很,哦不,是忙的很”。沉默了2秒之后,总监继续说到:“…这样啊,我这儿有个任务交给你,公司有两...
docker centos7容器中配置jar包运行的jdk8,pg,mongo,redis,nginx环境
weixin_45255174的博客
12-06 1226
安装完毕后,系统会在Linux的系统创建数据库超级用户 postgres,密码为空。修改 postgresql.conf 文件,把listen_addresses的注释放开,并且把内容修改为*#bin 目录在/usr/pgsql-14/bin/ 的路径之下,里面包含了postgresql 的命令。#postgresql.conf文件默认在/var/lib/psql/pg版本号/下。#pg_hba.conf 文件默认在/var/lib/psql/pg版本号/下。#创建实例并添加开机自启。
mongodb集群环境启动提示BadValue: security.keyFile is required when authorization is enabled with replica set
Mrzhou的博客
02-11 302
摘要:本文解决了MongoDB集群启动时出现的"BadValue: security.keyFile is required when authorization is enabled with replica set"错误。当在复制集环境中启用授权时,必须配置密钥文件。解决方法是:1) 使用openssl生成密钥文件;2) 设置文件权限为600;3) 在mongod.conf中配置keyFile路径;4) 将密钥文件分发到所有节点。文章还提供了相关MongoDB部署教程的参考链接,包括
MongoDB:使用keyfile访问控制的方式部署副本
黑土墨
11-29 9261
简介副本集强制访问控制需要配置: 使用内部认证机制保证副本集成员之间的安全 使用基于角色的访问控制保证连接客户端和副本集的安全 本教程中,副本集的每个成员使用了相同的内部认证机制和设置。强制内部认证即强制用户访问控制。为了连接到副本集,像mongo shell的客户端需要使用用户账号。注意事项Keyfile安全Keyfiles是安全的最小格式,非常适合测试和开发环境。对于生产环境,推荐使用x.509
Bug处理:MongoDB容器报错“Read security file failed. error opening file: /data/mongodb.key: bad file“
qq_34348690的博客
08-11 465
MongoDBkeyFile 有严格的安全校验:文件必须仅对所属者可读(一般 400 或 600),且文件所属者必须与运行 mongod 的用户相同。在 mongo 容器里,mongod 默认以 uid 999 运行。当把主机上的文件挂载进容器时,文件的属主还是宿主机的 uid(默认为。执行后,文件属主变成了 uid 999,和容器内的 mongod 一致,加上 400 权限就通过了 MongoDB 的安全检查。由于属主不匹配,MongoDB 判定这个 keyfile 不安全,报。
MongoDB的安全认证详解
huangjhai的博客
07-25 8074
默认情况下,MongoDB实例启动运行时是没有启用用户访问权限控制的,在实例本机服务器上都可以随意连接到实例进行各种操作,MongoDB不会对连接客户端的请求进行用户验证,这是非常危险的。
mongodb 配置keyFile
weixin_40438198的博客
08-27 735
我整理的一些关于【数据安全】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://edu.51cto.com/mic-position/757.html?utm_platform=pc&utm_source=shequ&utm_medium=51cto&utm_content=bk...
离线安装MongoDB集群
写Bug的小白的博客
12-31 1089
本文档详细介绍了在OpenEuler服务器上离线部署MongoDB 8.0集群的完整流程。主要内容包括:环境准备(系统要求、网络规划、离线包下载)、安装部署(文件传输、通用安装步骤)、分阶段部署(无认证初始化、启用认证)、验证部署、管理与监控、故障排除、优化配置以及备份恢复方案。部署过程分为两个阶段:先进行无认证初始化副本集并创建管理员用户,然后启用认证机制。文档提供了详细的配置文件模板、常用管理命令和常见问题解决方案,适用于企业级MongoDB集群的离线部署场景。
MongoDB使用keyfile访问控制来部署新的副本
duzm200542901104的专栏
08-14 2354
一、概述 在副本集中使用访问控制需要进行如下配置: 1、在副本集节点之间使用内部认证来确保安全 2、在客户端和副本集之间使用基于角色的访问控制来确保安全 实施内部认证的同时也启用了用户访问控制,连接到副本集,客户端(像 mongo shell)需要使用用户账户来连接。 二、考虑因素 1、IP绑定 从MongoDB3.6版本开始,mongod和mongos默认绑定localhost,如果部署的节...
MongoDB启动报错排查指南:从--fork错误到系统恢复
最新发布
weixin_29254673的博客
02-23 371
本文详细解析了MongoDB启动时常见的“--fork”报错问题,提供了一套从诊断到修复的完整排查指南。通过前台启动获取详细错误信息,系统检查配置文件与日志,并针对性地清理锁文件、修复数据或调整权限,帮助用户快速恢复数据库服务。文章还涵盖了资源检查与预防措施,是运维人员和开发者解决MongoDB启动故障的实用参考。
linux上安装MongoDB副本集(带keyfile安全认证以及用户权限)
03-28 556
搭建前准备 MongoDB版本:4.0 主要参考搭建MongoDB副本集网站:https://www.jianshu.com/p/f021f1f3c60b 安装之前最好先确定一下几点: 防火墙关闭 MongoDB的端口号对需要访问你的服务器开放 相关linux命令可参考博客https://www.cnblogs.com/yanduanduan/p/63...
docker mongo复制集部署流程(密码复杂度策略)
weixin_49218165的博客
11-03 694
社区版MongoDB身份验证并设置密码复杂度策略mechanisms: ["SCRAM-SHA-256"] )先检测服务器是否支持mongoDB高版本,从MongoDB 5.0开始,MongoDB要求CPU支持AVX指令集以提高性能。如果输出为空,那么你的CPU不支持AVX。如果输出了AVX的版本(如`avx2`),则表示你的CPU支持AVX。
mongodb开启安全认证后无法启动
weixin_33922670的博客
07-04 4831
今天碰到一个奇怪的问题,mongodbd开启安全认证,在/etc/mongod.conf里面添加 security:   authorization:enabled 后,service mongod start总是启动不了mongodb,而且没有任何报错,没有输出任何Log,但是通过mongod -auth却可以启动,但是这样启动后,使用用户登陆认证又无法通过,最后花了很多时间,才发现: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值