如何通过公网访问MongoDB云数据库?

基于安全原因考虑，阿里云MongoDB云数据库目前只支持从阿里云ECS上访问，无法通过公网直接访问，不方便用户在本地开发环境里直接进行测试，本文介绍能让用户通过公网访问MongoDB云数据库的方案，切记本文的方案仅可用于测试环境，生产环境连接MongoDB云数据库请参考使用正确的姿势连接复制集。

环境准备

• 包含公网 + 私网ip的ECS

  • 公网ip：xx.xx.xx.xx
  • 私网ip：yy.yy.yy.yy

• MongoDB云数据库

  • 节点1：dds-2ze56d3294df7b491.mongodb.rds.aliyuncs.com:3717 (Primary，通过ping域名来获取对应的ip，假设为zz.zz.zz.zz，因域名对应的ip可能发生变化，在生产环境切勿直接指定ip)
  • 节点2：dds-2ze56d3294df7b492.mongodb.rds.aliyuncs.com:3717

目标

通过xx.xx.xx.xx:27017能访问到zz.zz.zz.zz:3717提供的MongoDB云服务。

使用iptables

利用iptables的nat机制，可以方便的实现请求转发，首先需要ECS开启包转发的支持

echo 1 > /proc/sys/net/ipv4/ip_forward

配置转发规则

iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp --dport 27017 -j DNAT --to-destination zz.zz.zz.zz:3717

iptables -t nat -A POSTROUTING -d zz.zz.zz.zz -p tcp --dport 3717 -j SNAT --to-source yy.yy.yy.yy

此时你就能在任意能连通公网的机器上连接xx.xx.xx.xx:27017访问MongoDB云服务，所有的请求都会转发到zz.zz.zz.zz:3717上。需要注意的是，此时访问xx.xx.xx.xx:27017只能以单节点的方式直连，而不能按复制集的方式访问。

mongo --host xx.xx.xx.xx:27017 --authenticationDatabase admin -uroot -pxxx

使用haproxy

haproxy支持tcp（四层）、http（七层）2种转发模式，类似于iptables，我们也可以利用haproxy来实现公网访问MongoDB云数据库。

修改/etc/haproxy/haproxy.cfg配置文件内容，根据默认的配置文件稍作修改，主要配置tcp转发模式、前端、后端服务的地址信息。（haproxy版本为1.5.4）

global
    log         127.0.0.1 local2

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon

    # turn on stats unix socket
    stats socket /var/lib/haproxy/stats

defaults
    # 使用tcp转发模式
    mode                    tcp
    log                     global
    option                  dontlognull
    option http-server-close
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 3000
    
    # 前端地址信息， xx.xx.xx.xx:27017
frontend  main xx.xx.xx.xx:27017
    default_backend             app

    # 后端地址信息，zz.zz.zz.zz:3717 
backend app
    balance     roundrobin
    server  app1 zz.zz.zz.zz:3717 check

启动haproxy

haproxy -f /etc/haproxy/haproxy.cfg

此时你就能在任意能连通公网的机器上连接xx.xx.xx.xx:27017访问MongoDB云服务，所有的请求都会转发到zz.zz.zz.zz:3717上。需要注意的是，此时访问xx.xx.xx.xx:27017只能以单节点的方式直连，而不能按复制集的方式访问。

mongo --host xx.xx.xx.xx:27017 --authenticationDatabase admin -uroot -pxxx

以上服务同样适用于RDS、Redis云数据库，但切记仅能用于测试环境，生产环境请使用正确的姿势连接MongoDB复制集。

参考资料

• 阿里云MongoDB云数据库
• 使用正确的姿势连接复制集
• 如何通过公网地址访问云数据库