MongoDB在Debian上的网络配置注意事项有哪些

MongoDB 在 Debian 上的网络配置注意事项

一 基础网络与端口

• 默认监听与端口：MongoDB 默认只绑定到 127.0.0.1，端口为 27017。如需远程访问，应在 /etc/mongod.conf 的 net 段设置 bindIp（如绑定到内网地址或特定主机），并确保防火墙放行 27017/tcp。注意：将 bindIp 设为 0.0.0.0 会监听所有地址，务必配合认证与防火墙使用。示例：

  net:
    port: 27017
    bindIp: 192.168.1.10,127.0.0.1
  

  变更后执行：sudo systemctl restart mongod 使配置生效。

二 安全加固

• 启用身份验证：在 /etc/mongod.conf 中开启 security.authorization: enabled，并创建管理员与业务用户，遵循最小权限原则。示例：

  security:
    authorization: enabled
  

• 加密传输：配置 TLS/SSL 以保护数据在网络中的传输安全（服务器端强制或要求）。示例：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/mongodb.pem
      CAFile: /path/to/ca.pem
  

• 禁用旧接口：MongoDB 3.6+ 已移除 HTTP 状态接口与 REST API，确保相关功能处于关闭状态，减少攻击面。
• 防火墙与访问控制：仅允许受信任网段访问 27017/tcp。示例（ufw）：sudo ufw allow 27017/tcp；示例（iptables）：仅放行内网段：

  sudo iptables -A INPUT -p tcp --dport 27017 -s 192.168.1.0/24 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 27017 -j DROP
  

• 安全审计：启用审计日志以记录关键操作，便于合规与溯源。示例：

  security:
    auditLog:
      destination: file
      format: JSON
      path: /var/log/mongodb/audit.log
  

• 持续维护：保持 MongoDB 与 Debian 的及时更新，修复已知漏洞。

三 高可用与副本集网络

• 成员通信：副本集成员需配置正确的 bindIp 与端口，确保各节点间网络可达（内网互通），并在安全组/防火墙中放行相应端口。
• 认证与密钥：副本集建议使用 密钥文件 进行成员间认证，仅允许授权主机加入集群，提升集群通信安全性。

四 连接与排障

• 服务状态与连通性：确认服务运行 sudo systemctl status mongod；远程连通性可用 telnet your_server_ip 27017 或 nc -vz your_server_ip 27017 测试。
• 连接字符串：远程连接需包含用户名、密码、主机与端口，例如：

  mongodb://myUser:myPassword@your_server_ip:27017/myDatabase
  

  应用侧需使用支持认证的驱动版本，避免因驱动过旧导致握手或认证失败。

五 性能与资源控制

• 连接数调优：根据业务并发与内存容量，合理设置 最大连接数，避免连接风暴与资源枯竭。
• 内存与缓存：结合工作集大小与实例内存，设置 storage.wiredTiger.engineConfig.cacheSizeGB，避免影响操作系统与其他服务稳定性。