一、理解内网连接的价值与适用条件
在讨论具体的连接步骤之前,有必要先明确“内网连接”这一概念在云数据库场景下的具体含义。内网连接,指的是客户端与数据库实例处于同一个虚拟私有云网络内,通过私有IP地址进行通信的方式。与此相对的是公网连接,即通过互联网访问数据库。
内网连接的优势非常突出。首先是网络延迟显著降低,由于数据包不需要经过互联网的多次路由跳转,往返时间可以控制在极小的范围内,这对读写频繁的应用系统至关重要。其次是安全性更高,内网地址默认不暴露在公共互联网上,从根本上减少了被扫描和恶意攻击的风险。最后是传输稳定性,内网环境受外部网络波动的影响较小,连接质量更有保障。
然而,内网连接也有其适用条件。客户端所在的弹性云主机必须与目标 DDS 实例位于同一个地域、同一个虚拟私有云之下。如果开发人员的本地电脑需要直接连接,则无法使用内网方式,只能通过公网连接或者借助虚拟专用网络技术将本地网络与云端网络打通。对于大多数生产环境而言,应用服务器与数据库部署在同一网络区域内是最佳实践,内网连接正是为此场景设计的。
二、网络层面的准备与安全组配置
在尝试使用 Compass 连接 DDS 之前,网络环境的准备工作必须先行完成。这部分工作虽然不涉及数据库本身的配置,但却是连接成功与否的前提条件。
第一步是确保弹性云主机与 DDS 实例处于相同的网络环境中。具体来说,两者的地域选择应当一致,虚拟私有云的标识应当相同。如果是在同一个项目下创建的资源,通常情况下网络会自动对齐。如果出现了网络不通的问题,首先检查的就是这两项配置是否匹配。
第二步是安全组规则的设置,这是内网连接中最容易被忽视却又最为关键的环节。安全组可以理解为一道虚拟防火墙,控制着进出云资源的流量。为了让弹性云主机能够访问 DDS 实例,需要在 DDS 实例所在的安全组中添加一条入方向规则。
这条规则的核心内容包括以下几个要素。协议类型通常选择 TCP,因为数据库连接使用的是 TCP 协议。端口号需要填写 DDS 实例实际监听的端口,默认情况下是 8635,但也可以在实例创建时指定其他端口。源地址则填写弹性云主机的私有 IP 地址,或者弹性云主机所在的安全组标识。这样做意味着只允许特定的云主机访问数据库,而不是开放给整个网络。
如果弹性云主机与 DDS 实例恰好位于同一个安全组内,那么默认情况下两者已经互通,无需额外添加规则。但如果位于不同的安全组,则需要分别配置:为 DDS 安全组添加入方向规则放行来自云主机安全组的流量,同时为云主机安全组添加出方向规则允许其访问 DDS 的端口。
一个常见的问题是,所有配置看起来都正确,但连接仍然超时。这时可以检查弹性云主机本身的操作系统防火墙是否放行了出方向流量,以及 DDS 实例是否处于正常运行状态而非“重启中”或“异常”状态。
三、Compass 工具的获取与安装
MongoDB Compass 是官方推出的图形化管理工具,相比命令行的 mongo shell,Compass 提供了可视化界面,支持数据浏览、查询构建、索引管理和性能分析等功能,对于不习惯命令行操作的开发工程师而言,可以显著提升工作效率。
Compass 的获取途径是官方网站的下载页面。该工具提供了适用于 Windows、macOS 和 Linux 三种主流操作系统的安装包。选择与本地操作系统匹配的版本下载即可。
安装过程相对简单。在 Windows 系统中,运行安装程序后按照提示完成即可。在 macOS 系统中,可以将下载的 dmg 文件拖放到应用程序文件夹。在 Linux 系统中,可能需要先赋予安装包执行权限,然后运行安装命令。
需要注意的是,Compass 有社区版和企业版之分,社区版完全满足日常开发和管理需求,无需额外付费。另外,Compass 的版本应当与 DDS 实例的数据库版本保持一定的兼容性,通常较新版本的 Compass 可以连接较旧版本的数据库,反之则可能遇到兼容性问题。
四、获取 DDS 实例的内网连接信息
完成网络准备和工具安装后,下一步是从天翼云控制台获取连接所需的地址和凭证信息。
登录控制台后,在数据库服务列表中找到文档数据库服务,进入实例管理页面。点击目标实例的名称,进入实例详情页。在详情页中,可以找到“连接信息”或“连接管理”相关的选项卡。
DDS 支持多种实例类型,包括集群版和副本集版。对于集群版实例,通常会提供两种连接地址:内网高可用地址和各个节点单独的地址。高可用地址包含了多个 mongos 节点的信息,客户端连接时会自动实现负载分发和故障切换,是推荐使用的连接方式。对于副本集实例,同样提供了高可用地址,包含了主节点和备节点的信息。
五、在 Compass 中配置内网连接
有了连接地址和相关凭证,就可以在 Compass 中进行连接配置了。
打开 Compass 后,首先看到的是连接对话框。这里需要填写连接字符串或者逐个字段填写连接参数。推荐使用连接字符串的方式,直接将控制台提供的内网高可用地址粘贴到输入框中。Compass 会自动解析字符串中的各个组成部分。
如果使用的是普通连接,需要分别填写以下信息。Host 字段填写内网 IP 地址,如果有多个节点地址,可以使用逗号分隔。Port 字段填写端口号。Authentication 部分选择认证方式,通常选择用户名密码认证,Username 填写 rwuser,Password 填写对应的密码。Authentication DB 填写 admin。
如果启用了 SSL 加密连接,还需要在 Compass 的 TLS/SSL 选项卡中进行设置。勾选 Use TLS/SSL 选项,然后选择 TLS Certificate File 或 CA File,将之前下载的证书文件添加进去。根据 DDS 的配置要求,可能还需要勾选 Allow Invalid Hostnames 选项,这是因为内部证书通常使用内部管理 IP 地址生成,与连接时使用的地址可能不完全一致。
配置完成后,点击 Connect 按钮即可尝试建立连接。如果一切顺利,Compass 界面会显示数据库实例中的数据库列表和集合信息,此时已经成功通过内网连接到了 DDS 实例。
六、连接失败的常见原因排查
实际操作中,连接失败的情况并不少见。以下总结几种典型问题及其排查思路。
网络不通是最常见的原因。首先确认弹性云主机与 DDS 实例是否在同一个虚拟私有云内,是否位于同一个地域。然后检查安全组规则是否正确配置,特别是入方向规则中的源地址是否准确包含了弹性云主机的 IP 地址,端口是否为 DDS 实例的实际监听端口。
认证失败通常是账号或密码错误导致的。确认用户名是否为 rwuser,注意大小写。密码中如果包含特殊字符,在连接字符串中需要进行 URL 编码。例如 @ 字符需要替换为 %40,$ 替换为 %24。另外确认认证数据库是否为 admin,其他数据库名称会导致认证失败。
SSL 配置错误也会导致连接失败。如果 DDS 实例开启了 SSL 强制认证,那么不使用 SSL 的连接请求会被拒绝。反之,如果实例没有开启 SSL,客户端却尝试使用 SSL 连接,同样会失败。确认双方的 SSL 设置保持一致即可解决。
客户端版本兼容性问题相对少见但也值得关注。如果 Compass 版本过旧,可能无法支持较新版本数据库的认证协议。升级 Compass 到最新版本往往可以解决此类问题。
七、内网连接的最佳实践
在日常开发工作中,遵循一些最佳实践可以让内网连接更加稳定和规范。
将应用服务器与数据库部署在同一个虚拟私有云内是基本原则,这不仅能获得最佳性能,也简化了网络安全配置。如果确实需要从本地开发环境连接,可以考虑使用端口转发工具或在云端部署一台跳板机,通过 SSH 隧道将流量转发到内网,而不是直接将数据库暴露到公网。
对于生产环境,强烈建议启用 SSL 加密连接。虽然内网环境相比公网已经安全很多,但内部网络同样存在潜在风险,加密连接可以防止数据在网络传输过程中被窃听或篡改。
凭证管理也是需要重视的环节。避免在代码中硬编码数据库密码,可以使用配置中心或密钥管理服务来存储和分发敏感信息。定期更换数据库密码也是一种有效的安全防护措施。
八、总结
天翼云 DDS 结合 Compass 图形化客户端,为开发工程师提供了一套完整的内网数据库连接方案。从网络环境的准备、安全组规则的配置,到连接信息的获取和 Compass 中的参数填写,每一个环节都需要仔细核对。内网连接的优势在于低延迟、高安全和高稳定性,这使其成为生产环境中应用服务器访问数据库的首选方式。
在遇到连接问题时,按照网络层、认证层、SSL 配置层的顺序逐层排查,通常能够快速定位问题根源。将内网连接与安全组精细化控制、SSL 加密传输、规范化凭证管理等最佳实践相结合,可以构建起一套既高效又安全的数据库访问体系。随着业务规模的不断扩大,掌握内网连接的配置方法将成为后端开发和运维工程师的一项基础能力。
