centos mongodb网络配置建议

以下是CentOS上配置MongoDB网络的建议，涵盖基础配置、安全加固和性能优化：

1. 基础网络配置

   • 修改配置文件：编辑/etc/mongod.conf，设置net.bindIp为服务器实际IP（如192.168.1.100）或0.0.0.0（允许所有IP，仅限测试环境）。
   • 指定端口：默认端口为27017，可通过net.port修改。
   • 重启服务：修改后执行sudo systemctl restart mongod使配置生效。

2. 防火墙与安全

   • 开放端口：使用firewall-cmd开放MongoDB端口（默认27017）：
     sudo firewall-cmd --zone=public --add-port=27017/tcp --permanent，然后sudo firewall-cmd --reload。
   • 限制IP访问：通过防火墙规则限制仅允许特定IP段访问MongoDB端口（生产环境必做）。

3. 安全增强配置

   • 启用认证：在/etc/mongod.conf中添加security.authorization: enabled，并创建管理员账户（如db.createUser）。
   • 禁用默认HTTP接口：MongoDB 3.6+已移除HTTP接口，无需额外配置。
   • 启用SSL/TLS：在net.ssl中配置证书路径，强制加密通信（生产环境推荐）。

4. 性能优化

   • 调整连接数：通过net.maxIncomingConnections设置最大连接数（默认无限制，可根据服务器资源调整）。
   • 优化TCP参数：设置tcpKeepAlive、tcpNoDelay等参数提升网络稳定性（需结合内核参数调整）。

5. 生产环境注意事项

   • 避免暴露公网：bindIp不建议设为0.0.0.0，优先通过内网或SSH隧道访问。
   • 定期监控：使用mongostat、mongotop或第三方工具监控网络流量和连接状态。
   • 日志审计：确保systemLog记录详细访问日志，便于追踪异常。

参考来源：