面试题答案
一键面试AWS 平台
- 安全组配置
- 副本集内节点通信:创建一个安全组,例如命名为
MongoDB_ReplicaSet_SG。在该安全组的入站规则中,添加允许自定义 TCP 端口(默认为 27017 及相关复制端口,如 27018 等)的流量,来源选择该安全组自身。这样副本集内所有使用该安全组的实例可以相互通信。 - 外部访问安全:同样在
MongoDB_ReplicaSet_SG安全组的入站规则中,谨慎添加允许外部访问的规则。如果需要公网访问,仅允许特定 IP 地址段(如公司办公网络 IP 等)的 TCP 27017 端口流量。如果通过 VPN 访问,允许 VPN 网关的 IP 地址段访问相应端口。
- 副本集内节点通信:创建一个安全组,例如命名为
- VPC 网络策略
- 子网划分:将 MongoDB 副本集节点部署在私有子网内,避免直接暴露在公网。通过 NAT 网关为私有子网内的实例提供外网访问能力(如果需要下载更新等操作)。
- 路由表配置:确保私有子网的路由表将流量正确导向 NAT 网关或其他网络出口,同时限制不必要的路由,防止非法流量进入。
阿里云平台
- 安全组配置
- 副本集内节点通信:创建安全组,例如
MongoDB_ReplicaSet_SecGroup。在安全组规则中,入方向添加自定义 TCP 规则,允许副本集使用的端口(如 27017 等),授权对象选择本安全组。这确保了副本集内各节点基于同一安全组可以相互通信。 - 外部访问安全:在
MongoDB_ReplicaSet_SecGroup的入方向规则中,若允许外部访问,仅对特定 IP 地址段(如企业办公网 IP、VPN 出口 IP 等)开放相应端口。避免对 0.0.0.0/0 开放端口,以防恶意访问。
- 副本集内节点通信:创建安全组,例如
- VPC 网络策略
- 专有网络 VPC:将 MongoDB 副本集部署在专有网络的私有子网中,保证网络隔离。利用 NAT 网关使私有子网内的实例可以访问公网资源,同时阻止公网直接访问私有子网。
- 路由策略:合理配置 VPC 路由表,确保内部流量和外部流量的正确转发,同时防止非法路由引入风险。