MongoDB---管理简析
1.启动和停止MongoDB
执行mongod,启动MongoDB服务器。mongod有很多选项,在命令中执行 mongod --help
主要选项如下:
--dbpath www.2cto.com
指定数据目录,默认值是C:\data\db。每个mongod进程都需要独立的数据目录。如果要是有3个mongod
实例,那么必须有3个独立的数据目录。当mongod启动时,会在数据库目录中创建mongod.lock文件
这个文件用于防止其他的mongod纯净使用该数据目录。
--port
指定服务器监听的端口号,默认端口27017.要运行多个mongod进程,则要给每个指定不同的端口号。
--logpath
指定日志的输出路径。如果对文件夹有读写权限,系统会在文件不存在时创建它。它会将已有文件覆盖掉,
清除所有原来的日志记录。如果想要保留原来的日志,需使用--logappend选项。
--config
指定配置文件,加载命令行未指定的各种选项。
2.从配置文件启动
MongoDB支持从文件获取配置信息.当需要配置非常多或者要自动化MongoDB的启动时会用到.
指定配置文件可以用-f或--config选项.
如:
mongod --config refactorConfig.txt
refactorConfig.txt内容如下:
#start MongoDB www.2cto.com
port = 10000
dbpath = "f:\mongo\db"
logpath = "f:\mongo\log\MongoDB.txt"
rest = true
配置文件和命令行的功能一样
mongod --dbpath "f:\mongo\db" --logpath "f:\mongo\log\MongoDB.txt" --rest --port 10000
配置文件的特点:
a.以#开头的行是注释
b.指定选项的语法是这种"选项=值"的形式.选项是区分大小写的.
c.命令行如--rest的开关选项,值要设为true
3.停止MongoDB
可以使用shutdown命令{"shutdown":1},这个命令要在admin数据库下使用.shell还提供了辅助函数:
use admin
db.shutdownServer()
4. 监控
使用管理接口,默认情况下,启动mongod会启动基本的http服务器,该服务的默认端口是28017.可以在
浏览器中输入
localhost:28017.有些链接需要在mongod启动时,用--rest选项开启rest支持 才能进去.当开启rest支持后,可以
在mongod启动时使用--nohttpinterface来关闭管理接口.
5.serverStatus
要获取运行中的MongoDB服务器统计信息,最基本的工具是serverStatus命令
db.runCommand({"serverStatus":1})
serverStatus返回的键解释:
"globalLock"的值表示全局写入锁占用了服务器多少时间(单位微秒)
"mem"包含服务器内存映射了多少数据,服务器进程的虚拟内存和常驻内存的占用情况(单位MB)
"indexCounters"表示B树在磁盘检索("misses")和内存检索("hits")的次数.如果这个比值开始上升,就要考虑加内存了.
"backgroundFlushing"表示后台做了多少次fsync以及用了多少时间
"opcounters"文档包含了每种主要操作的次数
"asserts"统计了断言的次数
www.2cto.com
6.mongostat
serverStatus虽然强大,但对服务器的监控来说不怎么容易.MongoDB提供了mongostat
mongostat输出一些serverStatus提供的重要信息,它会每秒输出新的一行,比之前看到的静态数据实时性要好.
它输出多个列,分别是 inserts/s commands/s vsize 和 %locked,与serverStatus的数据相对应.
还可以使用第三方插件进行
数据库的监控.
7.安全和认证
认证的基础知识
每个MongoDB实例中的数据库都可以有很多用户,如果开启了安全性检查,这只有数据库认证用户才能执行读或写操作.
在认证的上下文中,MongoDB会将普通的数据作为admin数据库处理.admin数据库中的用户被称为超级用户(管理员).
在认证后,管理员可以读写所有数据库,执行特定的管理命令,如listDatabases和shutdown.
在开启安全检查前,至少要有个管理员帐号,在shell连接的是没有开启安全检查的服务器
上面添加了管理员refactor_root,在test数据库添加了两个普通账号,其中一个有只读权限.在shell中创建只读用户只要
在addUser的第三个参数设为true.调用addUser必须有响应数据库的写权限.这里可以对所有数据库调用addUser,
因为还没有开启安全检查.
重启数据库,重启时加入 --auth 命令行选项,开启安全检查
第一次连接时,不能test数据库执行任何操作,作为只读用户认证后,能查找,不能插入数据.能读写用户认证后,能查找和插入
数据,但不能使用show dbs 来列举所有数据库.超级用户认证后,可以为所欲为了.
8.认证的工作原理
数据库的用户帐号以文档的形式存储在system.users集合里.文档的结构是
{
"_id" : ObjectId("5006a037dff37e149322fd83"),
"user" : "refactor_read_write",
"readOnly" : false,
"pwd" : "5a84584ac51d3f702461fce4c46b0d6b"//是根据用户名和密码生成的散列
}
知道了用户信息是如何存储的以及存储位置后,就可以进行日常的管理工作了.
如删除帐户:
> db.system.users.remove({"user":"refactor_read"})
> db.auth("refactor_read","refactor")
0
用户认证时,服务器将认证和连接绑定来跟踪认证,也就是说如果驱动程序或是工具使用了连接池或是因故障切换到 www.2cto.com
另一个节点,所有认证用户必须对每个新连接重新认证.
MongoDB的传输协议是不
加密的,如需加密,可以用ssh隧道或者类似的技术做客户端和服务器间的加密.
建议将MongoDB服务器放在防火墙或放在只有应用服务器能访问的网络中.如果MongoDB必须能被外面访问到的话,
建议使用--bind