Debian 上 MongoDB 连接失败的排查与修复
一 快速自检清单
- 确认服务已启动并开机自启:sudo systemctl status mongod;如未运行执行 sudo systemctl start mongod,并建议 sudo systemctl enable mongod。
- 本地连通性测试:mongo --host 127.0.0.1 --port 27017 或 mongo --eval ‘db.runCommand({ connectionStatus: 1 })’。
- 远程连通性测试:在客户端执行 telnet 或 nc 到服务器的 27017 端口,确认端口可达。
- 查看服务日志定位错误:tail -n50 /var/log/mongodb/mongod.log。
- 核对应用连接字符串:主机名/IP、端口、数据库名、用户名、密码、认证源是否正确。
二 常见原因与对应修复
- 服务未运行或异常退出:查看日志中启动失败原因(如权限、路径、配置错误),修复后重启:sudo systemctl restart mongod。
- 仅本地绑定:编辑 /etc/mongod.conf,将 net.bindIp 改为 0.0.0.0(或加入应用服务器IP),并重启服务。
- 防火墙阻断:
- 使用 ufw:sudo ufw allow 27017/tcp;
- 使用 iptables:sudo iptables -A INPUT -p tcp --dport 27017 -j ACCEPT,并保存规则(如 iptables-save)。
- 端口未监听或被占用:ss -lntp | grep 27017 或 netstat -tulnp | grep 27017;如被占用,停止占用进程或修改 mongod.conf 的 port。
- 启用了认证却未提供凭据:在 mongod.conf 中设置 security.authorization: enabled,使用具有权限的用户连接(如 mongo -u 用户名 -p 密码 --authenticationDatabase admin)。
- SELinux/AppArmor 限制:临时置为宽松模式排查,或为 MongoDB 配置相应策略放行。
- 驱动或连接串不兼容:升级驱动版本,核对 replicaSet、ssl、authSource 等参数。
三 配置文件与权限检查
- 关键配置核对(/etc/mongod.conf):
- net: port 27017,bindIp 按需设置为 0.0.0.0 或白名单;
- security.authorization: enabled(启用鉴权);
- storage.dbPath 与 systemLog.path 所指向的目录必须存在且属 mongodb 用户(常见为 /var/lib/mongodb、/var/log/mongodb)。
- 配置语法与目录权限:
- 语法检查:mongod --config /etc/mongod.conf --eval ‘quit()’;
- 权限修复:chown -R mongodb:mongodb /var/lib/mongodb /var/log/mongodb;
- 修改后重启:sudo systemctl restart mongod。
四 网络连通性深入排查
- 服务器端监听:ss -lntp | grep 27017 应看到 0.0.0.0:27017 或指定IP的监听。
- 外部连通性:
- 客户端:nc -vz 服务器IP 27017 或 telnet 服务器IP 27017;
- 云服务器:检查安全组/NACL 是否放行 27017/TCP;
- 中间网络:排查公司防火墙、NAT、端口转发规则。
- 本机回环与端口转发:确保回环与端口转发策略未拦截访问。
五 日志分析与工具辅助
- 日志定位:tail -f /var/log/mongodb/mongod.log,关注 “Connection refused”“Failed to bind”“Unauthorized”“Address already in use” 等关键词。
- 运行状态与性能:
- 服务状态:systemctl status mongod;
- 服务器状态:mongo --eval ‘db.runCommand({ serverStatus: 1 })’;
- 实时监控:mongostat、mongotop;
- 连接状态:mongo --eval ‘db.runCommand({ connectionStatus: 1 })’。
