以下是CentOS上配置MongoDB網絡的建議��,涵蓋基礎配置���、安全加固和性能優化:
-
基礎網絡配置
- 修改配置文件:編輯
/etc/mongod.conf���,設置net.bindIp為服務器實際IP(如192.168.1.100)或0.0.0.0(允許所有IP�����,僅限測試環境)����。
- 指定端口:默認端口為
27017�����,可通過net.port修改�����。
- 重啟服務:修改后執行
sudo systemctl restart mongod使配置生效����。
-
防火墻與安全
- 開放端口:使用
firewall-cmd開放MongoDB端口(默認27017):
sudo firewall-cmd --zone=public --add-port=27017/tcp --permanent��,然后sudo firewall-cmd --reload��。
- 限制IP訪問:通過防火墻規則限制僅允許特定IP段訪問MongoDB端口(生產環境必做)����。
-
安全增強配置
- 啟用認證:在
/etc/mongod.conf中添加security.authorization: enabled���,并創建管理員賬戶(如db.createUser)����。
- 禁用默認HTTP接口:MongoDB 3.6+已移除HTTP接口��,無需額外配置���。
- 啟用SSL/TLS:在
net.ssl中配置證書路徑���,強制加密通信(生產環境推薦)��。
-
性能優化
- 調整連接數:通過
net.maxIncomingConnections設置最大連接數(默認無限制��,可根據服務器資源調整)�。
- 優化TCP參數:設置
tcpKeepAlive����、tcpNoDelay等參數提升網絡穩定性(需結合內核參數調整)�����。
-
生產環境注意事項
- 避免暴露公網:
bindIp不建議設為0.0.0.0�,優先通過內網或SSH隧道訪問�。
- 定期監控:使用
mongostat��、mongotop或第三方工具監控網絡流量和連接狀態�����。
- 日志審計:確保
systemLog記錄詳細訪問日志��,便于追蹤異常�。
參考來源:
