MongoDB 在 Linux 环境的完整搭建:从基础安装、权限控制到 cpolar 固定公网地址配置
前言
MongoDB是一款面向文档的NoSQL数据库,数据以BSON格式存储,字段结构可以根据业务变化灵活调整。相比需要预先定义表结构的关系型数据库,它更适合日志采集、内容管理、设备数据、用户画像以及快速迭代的应用系统。MongoDB同时支持索引、聚合管道、副本集和分片机制,在数据量持续增长、写入频率较高或字段变化较多的项目中,能够提供较好的扩展能力。
不过,MongoDB安装完成并能够正常启动,并不代表数据库已经具备安全运行条件。数据库服务默认使用27017端口,如果直接监听全部网络接口,同时缺少身份认证、访问控制和防火墙限制,外部扫描程序就可能发现并尝试连接。数据库一旦允许匿名访问,攻击者不仅能够读取业务数据,还可能删除集合、创建勒索信息或持续占用服务器资源。对于数据库服务来说,安装只是基础工作,认证、网络范围和权限管理才决定它能否稳定运行。
本文以Linux环境为基础,完成MongoDB程序安装、数据与日志目录创建、配置文件编写以及systemd服务管理。数据库启动后,将继续创建管理账号和业务账号,并通过角色权限区分数据库管理与普通读写操作。相比所有程序共用一个高权限账号,为不同业务创建独立用户、限制可访问的数据库和操作范围,更符合生产环境中的最小权限原则。
网络配置是MongoDB安全加固中需要重点处理的部分。bind_ip决定数据库监听哪些网络接口,将其设置为0.0.0.0虽然方便远程连接,但也会扩大服务暴露范围。实际部署时,应优先绑定本机地址或指定的内网IP,再通过防火墙、访问白名单和认证机制限制连接来源。确实需要异地访问时,也不建议直接在路由器上开放27017端口,而应通过受控隧道或专用网络建立连接。
本文后半部分使用cpolar为MongoDB创建TCP隧道,使没有公网IP的Linux服务器也可以被异地客户端连接,并进一步配置固定TCP地址。该方案解决的是网络可达性问题,并不能代替MongoDB自身的身份认证和权限管理。开放远程访问前,应确认认证已经启用、用户权限已经划分、管理账号使用强密码,同时避免把公网地址和数据库凭据公开保存。
接下来将按照MongoDB安装、服务配置、账号权限、Compass连接和cpolar远程访问的顺序完成整个流程,帮助读者搭建一套既能正常使用,又具备基本安全控制能力的数据库环境。
1.什么是MongoDB?
MongoDB是一个开源、高性能、面向文档的NoSQL数据库。
面向文档(Document-Oriented)
- 数据以BSON(Binary JSON) 格式存储,类似JSON对象。
- 灵活的模式(Schema-less)
- 同一集合(Collection)中的文档可以有不同的字段,无需预先定义表结构。
高性能 & 可扩展
- 支持索引、聚合、内存映射等优化。
- 原生支持水平扩展:通过 分片(Sharding) 分布数据到多个服务器。
高可用
- 通过副本集(Replica Set) 实现自动故障转移和数据冗余。
丰富的查询语言
- 支持复杂查询、正则匹配、地理空间查询、聚合管道(Aggregation Pipeline)等。
与传统关系型数据库(如MySQL)对比:
| 特性 | MongoDB | MySQL |
|---|---|---|
| 数据模型 | 文档 (JSON-like) | 表 (行/列) |
| 模式 | 动态 (灵活) | 静态 (需预定义) |
| 扩展方式 | 水平扩展(分片) | 垂直扩展为主 |
| 事务 | 支持 (4.0+ 多文档事务) | 强支持 (ACID) |
| 适用场景 | 快速迭代、半结构化数据、高写入负载 | 强一致性、复杂关联查询 |
典型应用场景:
- 内容管理系统(CMS)
- 实时分析 / 日志存储
- 物联网(IoT)设备数据
- 移动 App 后端
- 用户配置/画像存储
MongoDB适合需要灵活性、高吞吐、快速开发的场景,尤其在处理非结构化或半结构化数据时优势明显。但它不擅长复杂多表关联查询,这类需求仍推荐使用关系型数据库。
2.MongoDB安装与启动
2.1 环境准备
- 操作系统:Linux CentOS 7
- 安装包:mongodb-linux-x86_64-rhel70-4.0.27.tgz
2.2 去官网首页下载安装包
也可以直接复制下载地址,然后直接在Linux服务器上使用wget下载。
wgethttps://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.4.30.tgzwindows也可以一键下载:
下载后直接到本地,部署就可以!
2.3 MongoDB安装
将下载好的安装包上传到Linux服务器/app目录下:
并使用以下命令解压压缩包:
tar-zxvfmongodb-linux-x86_64-rhel70-4.4.30.tgz将解压后的目录移动到/usr/local目录下,并改名为mongodb。
mvmongodb-linux-x86_64-rhel70-4.4.30 /usr/local/mongodb进入mongodb目录,并创建文件夹data,在data文件夹下再创建db文件夹(用于存放数据库数据)和log文件夹(存放mongo日志)。然后为其设置可读写权限。
# 进入目录cd/usr/local/mongodb/# 创建三个文件夹mkdirdata data/db data/log# 设置可读写权限sudochmod666data/db data/log/在mongodb目录下新建配置文件mongodb.conf,打开文件输入以下内容。
# 数据库数据存放目录 dbpath=/usr/local/mongodb/data/db # 日志文件存放目录 logpath=/usr/local/mongodb/data/log/mongodb.log # 日志追加方式 logappend=true # 端口 port=27017 # 是否认证 auth=true # 以守护进程方式在后台运行 fork=true # 远程连接要指定ip,否则无法连接;0.0.0.0代表不限制ip访问 bind_ip=0.0.0.0配置环境变量,使用sudo vi /etc/profile命令打开系统文件,并在末尾加入以下内容后保存,最后使用source /etc/profile命令重启系统配置。
exportMONGODB_HOME=/usr/local/mongodbexportPATH=$PATH:$MONGODB_HOME/bin2.4 MongoDB启动
完成以上步骤即可启动Mongo服务。
mongod-f/usr/local/mongodb/mongodb.conf使用安装目录下bin目录的mongo客户端命令连接和访问MongoDB,默认会链接到test数据库。
3.基础配置MongoDB
3.1 配置MongoDB服务
配置mangodb开机自启动:
vi/lib/systemd/system/mongodb.service[Unit]Description=mongodbAfter=network.target remote-fs.target nss-lookup.target[Service]Type=forkingExecStart=/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.confExecReload=/bin/kill-sHUP$MAINPIDExecStop=/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.conf--shutdownPrivateTmp=true[Install]WantedBy=multi-user.target使服务生效:
systemctl start mongodb.service systemctl status mongodb.service systemctlenablemongodb.service systemctl daemon-reload3.2 创建管理员账号
内置角色:
- 数据库用户角色:read、readWrite
- 数据库管理角色:dbAdmin、dbOwner、userAdmin
- 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager
- 备份恢复角色:backup、restore
- 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
- 超级用户角色:root
- 内部角色:__system
切换到admin数据库,使用以下命令创建管理账号,拥有操作所有数据库权限:
use admin db.createUser({user:"admin",pwd:"123456",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})验证:
use admin db.auth("admin","123456")show tables3.3 创建用户和密码
use admin db.auth("admin","123456")# 新用户的认证库use nobody# 创建chenpi用户,密码123465,对nobody数据库有读写权限db.createUser({user:'ceshi',pwd:'123456',roles:[{role:'readWrite',db:'nobody'}]})3.4 连接可视化工具
我使用的可视化的工具是(MongoDB Compass):
点击如图所示:
添加主机的地址+端口:
我们可以看见已经连接成功啦(为了直观看见,我添加了颜色):
在开发和测试过程中,我们常常将MongoDB部署在本地机器或内网服务器上。这种部署方式安全、便捷,但也带来一个现实问题:
“如何让外部设备(如手机App、远程同事、云服务)访问这台没有公网IP的MongoDB?”
传统方案可能需要配置路由器端口转发、申请云服务器做跳板,甚至暴露数据库到公网——不仅复杂,还存在严重的安全隐患。
这时候,一款轻量级、安全可靠的内网穿透工具就显得尤为重要。cpolar正是为此而生。
4.安装cpolar内网穿透工具
4.1 什么是cpolar?
cpolar是一款安全高效的内网穿透工具,无需公网IP或复杂配置,只需一条命令,即可将本地服务器、Web服务或任意端口映射到公网,让你随时随地远程访问内网应用,特别适合开发调试、远程运维和应急部署等场景。
4.2 安装cpolar
cpolar 可以将你本地电脑中的服务(如 SSH、Web、数据库)映射到公网。即使你在家里或外出时,也可以通过公网地址连接回本地运行的开发环境。
❤️以下是安装cpolar步骤:
使用一键脚本安装命令:
sudocurlhttps://get.cpolar.sh|sh安装完成后,执行下方命令查看cpolar服务状态:(如图所示即为正常启动)
sudosystemctl status cpolarCpolar安装和成功启动服务后,在浏览器上输入虚拟机主机IP加9200端口即:【ip:9200】访问Cpolar管理界面,使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可:
打开浏览器访问本地9200端口,使用cpolar账户密码登录即可,登录后即可对隧道进行管理。
5.配置公网地址
通过配置,你可以在本地 WSL 或 Linux 系统上运行 SSH 服务,并通过 Cpolar 将其映射到公网,从而实现从任意设备远程连接开发环境的目的。
- 隧道名称:可自定义,本例使用了:mongo,注意不要与已有的隧道名称重复
- 协议:tcp
- 本地地址:27017
- 端口类型:随机临时TCP端口
- 地区:China Top
创建成功后,打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址,接下来就可以在其他电脑或者移动端设备(异地)上,使用任意一个地址在终端中访问即可。
tcp 表示使用的协议类型
2.tcp.cpolar.top是 Cpolar 提供的域名
16766是随机分配的公网端口号
通过Cpolar提供的公网地址和端口,mangodb就可以从任意一台主机连接到啦!
6.保留固定TCP公网地址
使用cpolar为其配置TCP地址,该地址为固定地址,不会随机变化。
选择区域和描述:有一个下拉菜单,当前选择的是“China Top”。
右侧输入框,用于填写描述信息。
保留按钮:在右侧有一个橙色的“保留”按钮,点击该按钮可以保留所选的TCP地址。
列表中显示了一条已保留的TCP地址记录。
地区:显示为“China Top”。
地址:显示为“6.tcp.cpolar.top:11736”。
登录cpolar web UI管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到所要配置的隧道mysql,点击右侧的编辑。
修改隧道信息,将保留成功的TCP端口配置到隧道中。
- 端口类型:选择固定TCP端口
- 预留的TCP地址:填写保留成功的TCP地址
点击更新。
创建完成后,打开在线隧道列表,此时可以看到随机的公网地址已经发生变化,地址名称也变成了保留和固定的TCP地址。
最后测试一下固定的地址是否好用:
这样,我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。
总结
本文完成了MongoDB在Linux环境中的安装、目录配置、服务启动、账号创建和权限划分,并通过MongoDB Compass验证了数据库连接。结合cpolar配置TCP隧道后,原本只能在内网访问的MongoDB也能够为异地开发、远程调试和临时协作提供连接入口。
远程访问并不等于直接开放数据库端口。MongoDB启用认证、限制监听地址、划分用户权限和配置防火墙,仍然是数据库安全的基础。cpolar负责解决网络连接问题,MongoDB自身则负责身份校验和数据权限控制,两部分需要同时配置,不能相互替代。
实际部署时,建议为管理账号和业务账号分别设置强密码,避免应用程序长期使用高权限用户,并根据访问来源限制网络范围。随机TCP地址适合临时测试,固定TCP地址更适合长期连接,但地址越稳定,越需要重视凭据保护、日志检查和异常访问监控。只有在安装、权限和网络三个环节都得到控制后,MongoDB才适合作为长期运行的数据库服务。
