微服务必须用独立数据库和用户实现数据隔离MongoDB需按库创建用户并限制权限禁用跨库操作凭证须环境注入、加密管理、定期轮换网络层强制TLS和IP白名单监控连接与权限使用杜绝硬编码和日志泄露。每个服务用独立数据库 独立用户别共用 admin微服务间数据隔离是底线共用数据库或账号等于把所有钥匙塞进一个铁盒——丢一个全军覆没。MongoDB 没有 schema-level 权限只有 database-level所以 service-a 的数据必须存在 service_a_db 里且只给 service_a_user 对该库的 readWrite 权限绝不给 admin 或跨库权限。常见错误现象MongoServerError: not authorized on config to execute command { listCollections: 1 }——这是服务尝试读其他库元数据说明权限收得太松或应用误用了全局连接。创建用户时显式指定 db用 db.createUser() 在目标库如 service_a_db下执行不是在 admin连接字符串里写死数据库名mongodb://service_a_user:pwdhost:27017/service_a_db避免应用连上后手动 use 切库禁用 listDatabases 权限默认角色不包含它但自定义角色时务必确认没加上凭证不硬编码、不进 Git走环境注入 短期轮换把 MONGODB_URI 写进 .env 提交到仓库等于把保险柜密码贴在门上。Kubernetes 用 SecretDocker Compose 用 env_file 配合 .gitignore本地开发用 dotenv 加密加载——核心是凭证生命周期与代码解耦。使用场景CI/CD 流水线部署新服务时自动调用 MongoDB Ops Manager 或脚本生成临时用户TTL 24h凭据只存入 K8s SecretPod 启动时挂载为环境变量。禁止在代码里拼接 URIprocess.env.MONGODB_USER : process.env.MONGODB_PASS —— 容易泄露、难审计URI 中密码需 encodeURIComponent()特殊字符如 /、不转义会导致解析失败错误信息是 MongoParseError: Invalid connection string轮换时别只改密码同步更新 userRoles旧用户删掉避免残留权限网络层加固比账号密码更重要再强的密码也防不住端口暴露在公网。几十个服务如果都直连 MongoDB攻击面指数级扩大。必须收口只允许内部服务网段如 10.10.0.0/16访问 MongoDB 节点且强制 TLS 1.2ssltruetlsCAFileca.pem。性能影响TLS 握手增加约 5–10ms 延迟但比一次凭证泄露代价小得多兼容性上Node.js 驱动 v4 默认启用 TLS老版本需显式设 sslValidate: true。防火墙规则优先于 MongoDB 授权先封外网 IP再配用户权限顺序反了等于裸奔别信“内网就安全”容器网络、云 VPC 默认互通必须用 NetworkPolicy 或安全组最小化放行连接字符串加 replicaSet 和 directConnectionfalse防止客户端绕过副本集发现机制直连非主节点导致写失败监控谁在用哪个账号异常行为秒级告警没人查日志直到凌晨三点收到 collection dropped 的 Slack 报警。MongoDB 企业版有审计日志社区版靠 system.profile db.setProfilingLevel(2) 抓慢查询和高危操作但更关键的是在应用层埋点所有服务初始化时上报 service_name 和 mongo_user 到统一指标系统如 Prometheus。容易踩的坑profile 开太大会拖慢性能建议只对 admin 库开 level 1慢查询业务库不开审计日志路径配置错auditLog.destination: file 但目录无写权限会导致 mongod 启动失败报错 Failed to open audit log file。定期查 db.runCommand({connectionStatus: 1}) 中的 authInfo.authenticatedUsers确认没多出陌生用户用 mongostat --host rs0/mongo1:27017,mongo2:27017 看实时连接数突增可能是某个服务疯狂重连凭证轮换后旧连接不会自动断开得配合应用健康检查主动 kill idle connection最麻烦的从来不是建用户而是确认每个服务真的只用自己那个账号、真的只连自己那个库、真的没在日志里打出来 URI——这些地方没有银弹只能靠自动化扫描 上线前 checklist 交叉核对。