单机mongo安装和权限问题解决

本文记录了在centos7.3上安装mongodb3.4,配置优化,设置权限,并解决了修改数据目录后,由文件权限导致的mongo启动问题。

mongo安装

1、创建yum安装源
创建 /etc/yum.repos.d/mongodb-org-3.4.repo

1
2
3
4
5
6
[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

2、yum安装

1
sudo yum install -y mongodb-org

参考文档:centos 安装mongo

3、rpm安装
有时官方的镜像访问特别缓慢,可以通过阿里云的mongo rpm方式下载,然后手动安装。
安装过程:下载rpm包,总共4个rpm包,选择版本为3.4,包括mongodb-org-mongos、mongodb-org-server、mongodb-org-shell、mongodb-org-tools、mongodb-org

安装rpm包,包直接有依赖,需要安装顺序安装

1
2
3
4
5
rpm -i mongodb-org-server-3.4.0-1.el7.x86_64.rpm
rpm -i mongodb-org-shell-3.4.0-1.el7.x86_64.rpm
rpm -i mongodb-org-mongos-3.4.0-1.el7.x86_64.rpm
rpm -i mongodb-org-tools-3.4.0-1.el7.x86_64.rpm
rpm -i mongodb-org-3.4.0-1.el7.x86_64.rpm

rpm安装与yum安装存在mongo管理上的问题,yum安装能够使用systemctl来管理mongo的运行状态(启动,关闭,重启,状态查询),rpm安装在没有配置usr/lib/systemd/system/mongod.service的情况下只能通过mongo自带的命令管理运行状态。
mongod命令操作

1
2
关闭:mongod --config /etc/mongod.conf --shutdown
启动:mongod --config /etc/mongod.conf

systemctl管理命令

1
2
3
systemctl (start|restart|stop|status) mongod.service
一般需要数据库开机自动运行
systemctl enable mongod.service

重要文件位置:
配置文件:/etc/mongod.conf
日志文件:/var/log/mongodb/mongod.log
数据文件:/var/lib/mongo

优化配置

关闭THP

自CentOS6版本开始引入了Transparent Huge Pages(THP),从CentOS7版本开始,该特性默认就会启用。尽管THP的本意是为提升内存的性能,不过某些数据库厂商还是建议直接关闭THP(比如说Oracle、MariaDB、MongoDB等),否则可能会导致性能出现下降。
首先检查THP的启用状态:

1
2
3
4
5
cat /sys/kernel/mm/transparent_hugepage/defrag
[always] madvise never
cat /sys/kernel/mm/transparent_hugepage/enabled
[always] madvise never
这个状态就说明都是启用的。

禁用THP,编辑rc.local文件(http://www.jb51.net/LINUXjishu/115972.html):

1
2
3
4
5
6
7
8
vim /etc/rc.d/rc.local
增加下列内容:
if test -f /sys/kernel/mm/transparent_hugepage/enabled; then
echo never > /sys/kernel/mm/transparent_hugepage/enabled
fi
if test -f /sys/kernel/mm/transparent_hugepage/defrag; then
echo never > /sys/kernel/mm/transparent_hugepage/defrag
fi

保存退出,然后赋予rc.local文件执行权限:

1
chmod +x /etc/rc.d/rc.local

最后重启系统,以后再检查THP应该就是被禁用了

1
2
3
4
cat /sys/kernel/mm/transparent_hugepage/enabled
always madvise [never]
cat /sys/kernel/mm/transparent_hugepage/defrag
always madvise [never]

关闭数据库文件所在硬盘的 atime

禁止系统对文件的访问时间更新会有效提高文件读取的性能。这个可以通过在 _etc_fstab 文件中增加 noatime 参数来实现

1
2
vim /etc/fstab
/dev/sdb1 /mnt/data1 xfs noatime 0 0

修改完文件后重新 mount就可以:

1
mount -o remount /mnt/data1

提高默认文件描述符和进程/线程数限制

Linux默认的文件描述符数和最大进程数对于MongoDB来说一般会太低。建议把这个数值设为64000。因为MongoDB服务器对每一个数据库文件以及每一个客户端连接都需要用到一个文件描述符。如果这个数字太小的话在大规模并发操作情况下可能会出错或无法响应。 你可以通过以下命令来临时修改这些值(只对当前终端生效):

1
2
ulimit -n 64000
ulimit -u 64000

永久生效需要在_etc_security/limits.conf配置

1
2
3
/etc/security/limits.conf
mognod - nofile 32768
mognod - nproc 32000

安全设置

mongodb默认bindIp为127.0.0.1,端口为27017,没有进行账户设置的。去年出现很多mongodb由于没有设置密码之类的被攻破,数据被盗的情况。因此需要对mongo进行安全的设置 。
初步安全措施为修改默认端口,创建账户开启权限认证机制。
etc/mongodb.conf中修改port为其它端口。
设置账号:

1
2
use admin;
db.createUser({"user":"root","pwd":"xxxx","roles":[{"role":"root","db":"admin"}]})

开启权限验证:

1
2
security:
authorization:true

Mongo还可以给不同的数据库创建不同的账号,每个账号分配不同的权限,实现更加细粒度的权限控制。具体可参看mongoDB Security

设置账号后,可以使用账户和密码登录 mongo
第一种方式:

1
mongo —port 27071 -u “xxx” -p “xxxx” —authenticationDatabase “admin”

第二种方式:

1
2
use admin
db.auth(“xxx”,”xxxx”)

权限问题解决

安装好后,默认的数据目录位于/var/lib/mongo,由于存储的数据量大,需要修改默认的存储路径为/mnt/data1
修改目录后会遇到权限的问题,解决的关键点如下:
1、selinux,通过查看/var/log/message可以知道,selinux阻止访问
2、用户和用户组
3、文件夹权限
官方建议:

1
On RHEL 7.0, if you change the data path, the default SELinux policies will prevent mongod from having write access on the new data path if you do not change the security context.

默认目录/var/lib/mongo含有mongod_var_lib_t,这样selinux的安全策略有关。

解决方法是修改对应文件夹的security context

1
chcon -Rv --type=mongod_var_lib_t /mnt/data1/mongo

跳过selinux的障碍后,需要继续解决新建目录的用户和用户组,以及文件夹的权限问题,保持与之前的目录一致。接着就能启动mongo.

参考资料:

chcon命令_Linux chcon 命令用法详解:修改对象(文件)的安全上下文
mongoDB Security
centos 安装mongo
MongoDB在Linux下常用优化设置 | MongoDB中文社区