記一次Mongodb中admin數據庫導致的事故

前言

MongoDB副本集默認會創建local、admin數據庫，local數據庫主要存儲副本集的元數據，admin數據庫則主要存儲MongoDB的用戶、角色等信息。

Mongodb的gridfs一次插入數據的時候會自動創建幾個索引，我們程序里面的賬號沒有createIndex權限，我需要手動創建一下。結果連接到mongo服務器之后忘記執行use xxxdb來切換數據庫了，于是在admin數據庫里面創建了一個索引，結果導出一邊的程序報出來很多驗證問題。

Mongo的admin數據庫太脆弱了，只是創建一個索引就掛了。長個教訓，以后千萬不要手動修改它，更不要用admin保存數據。

反思一下，這次操作失誤其實爆出我平時一些不好的習慣。

首先，連接mongo應該指定目標數據。而我之前都是連接到admin，然后用use切換到目標數據庫。這樣難免會忘記。

$ # 錯誤使用
$ mongo ourdomain.com/admin -u tom -p tompass
$ # 正確的使用
$ mongo ourdomain.com/mydb -u tom -p tompass --authenticationDatabase admin

第二，錯誤的在admin數據庫執行createIndex，返回的結果明確顯示索引創建成功。

{
  "createdCollectionAutomatically" : true,
  "numIndexesBefore" : 1,
  "numIndexesAfter" : 2,
  "ok" : 1,
  ...
}

但是我忽略了，繼續在正確的數據庫創建索引。不然可以早一些發現問題。

最后，創建索引應該自動化，比如gridfs這種對md5, filename創建索引的。

慎用admin數據庫

當Mongod啟用auth選項時，用戶需要創建數據庫帳號，訪問時根據帳號信息來鑒權，而數據庫帳號信息就存儲在admin數據庫下。

mongo-9551:PRIMARY> use admin
switched to db admin
mongo-9551:PRIMARY> db.getCollectionNames()
[ "system.users", "system.version" ]

• system.version存儲authSchema的版本信息
• system.users存儲了數據庫帳號信息
• 如果用戶創建了自定義的角色，還會有system.roles集合

用戶可以在admin數據庫下建立任意集合，存儲任何數據，但強烈建議不要使用admin數據庫存儲應用業務數據，最好創建新的數據庫。

admin數據庫里的system.users、system.roles2個集合的數據，MongoDB會cache在內存里，這樣不用每次鑒權都從磁盤加載用戶角色信息。目前cache的維護代碼，只有在保證system.users、system.roles的寫入都串行化的情況下才能正確工作，詳情參考官方issue SERVER-16092

從代碼中我們可以看出，MongoDB將將admin數據庫上的意向寫鎖(MODE_IX)直接升級為寫鎖(MODE_X)，也就是說admin數據庫的寫入操作的鎖級別只能到DB級別，不支持多個collection并發寫入，在寫入時也不支持并發讀取。如果用戶在admin數據庫里存儲業務數據，則可能遭遇性能問題。

if (supportsDocLocking() || enableCollectionLocking) { 
if (supportsDocLocking() || enableCollectionLocking) {
+
+ // The check for the admin db is to ensure direct writes to auth collections
+ // are serialized (see SERVER-16092).
+ if (_id == resourceIdAdminDB && !isRead) {
+ _mode = MODE_X;
+ }
+
_lockState->lock(_id, _mode); 

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對億速云的支持。