印刻数据库

外观

Neo4j 网络资源管理

网络配置

网络配置是 Neo4j 数据库部署的重要组成部分,合理的网络配置可以确保数据库的可访问性、性能和安全性。以下是 Neo4j 网络配置的主要内容:

1. 基础网络配置

基础网络配置包括监听地址、端口设置和连接限制等,这些配置决定了 Neo4j 如何接受和处理客户端连接。

绑定地址

绑定地址配置决定了 Neo4j 服务监听的网络接口和端口。通过合理配置绑定地址,可以控制数据库的可访问范围和网络服务的可用性。

txt
# 设置默认监听地址
dbms.default_listen_address=0.0.0.0

# 设置 Bolt 协议监听地址和端口
dbms.connector.bolt.listen_address=:7687

# 设置 HTTP 协议监听地址和端口
dbms.connector.http.listen_address=:7474

# 设置 HTTPS 协议监听地址和端口
dbms.connector.https.listen_address=:7473

# 设置集群通信监听地址
dbms.cluster.listen_address=:5000

配置说明

  • dbms.default_listen_address:设置所有网络服务的默认监听地址,0.0.0.0 表示监听所有网络接口
  • dbms.connector.bolt.listen_address:Bolt 协议是 Neo4j 客户端的主要通信协议,默认端口 7687
  • dbms.connector.http.listen_address:HTTP 协议用于浏览器访问 Neo4j Browser,默认端口 7474
  • dbms.connector.https.listen_address:HTTPS 协议用于安全的浏览器访问,默认端口 7473
  • dbms.cluster.listen_address:集群通信端口,用于集群节点之间的通信,默认端口 5000

连接限制

连接限制配置用于控制客户端连接的数量和超时时间,合理配置可以防止资源耗尽和提高系统稳定性。

txt
# 设置最大连接数
dbms.connector.bolt.max_connection_pool_size=100

# 设置连接超时时间
dbms.connector.bolt.connection_timeout=30s

# 设置空闲连接超时时间
dbms.connector.bolt.idle_timeout=5m

配置说明

  • dbms.connector.bolt.max_connection_pool_size:设置 Bolt 协议的最大连接池大小,控制同时可以处理的最大连接数
  • dbms.connector.bolt.connection_timeout:设置连接建立的超时时间,防止客户端长时间等待
  • dbms.connector.bolt.idle_timeout:设置空闲连接的超时时间,超过此时间的空闲连接将被关闭,释放资源

2. 集群网络配置

集群网络配置是 Neo4j 集群部署的关键部分,包括节点发现机制、通信配置和安全设置等。合理配置集群网络可以确保集群的稳定性和高可用性。

发现机制

集群发现机制用于集群节点之间的相互发现和通信,确保所有节点能够正确加入集群并保持通信。

txt
# 设置集群发现端点
dbms.cluster.discovery.endpoints=neo4j-node1:5000,neo4j-node2:5000,neo4j-node3:5000

# 设置初始发现成员
dbms.cluster.initial_discovery_members=neo4j-node1:5000

# 设置发现超时时间
dbms.cluster.discovery.timeout=5s

配置说明

  • dbms.cluster.discovery.endpoints:设置集群中所有节点的发现端点,格式为 节点名称:端口
  • dbms.cluster.initial_discovery_members:设置初始发现成员,新节点加入集群时首先连接到这些节点
  • dbms.cluster.discovery.timeout:设置节点发现的超时时间,超过此时间将认为发现失败

通信配置

通信配置用于控制集群节点之间的通信协议和参数,包括 Raft 协议配置、超时设置和心跳间隔等。

txt
# 设置 Raft 协议端口
dbms.cluster.raft.listen_address=:7000

# 设置 Raft 超时时间
dbms.cluster.raft.timeout=1s

# 设置 Raft 选举超时时间
dbms.cluster.raft.election_timeout=2s

# 设置 Raft 心跳间隔
dbms.cluster.raft.heartbeat_interval=200ms

配置说明

  • dbms.cluster.raft.listen_address:设置 Raft 协议的监听地址和端口,Raft 协议用于集群的一致性和领导选举
  • dbms.cluster.raft.timeout:设置 Raft 协议的超时时间,影响集群的响应速度和稳定性
  • dbms.cluster.raft.election_timeout:设置 Raft 领导选举的超时时间
  • dbms.cluster.raft.heartbeat_interval:设置集群节点之间的心跳间隔,用于检测节点存活状态

3. 安全配置

安全配置是网络资源管理的重要组成部分,包括 SSL/TLS 加密、防火墙规则和访问控制等。合理配置可以保护数据库免受网络攻击和未授权访问。

SSL/TLS 配置

SSL/TLS 配置用于加密数据库与客户端之间的通信,防止数据在传输过程中被窃取或篡改。Neo4j 支持为 Bolt、HTTP 和 HTTPS 协议配置 SSL/TLS。

txt
# 启用 Bolt 协议 SSL
dbms.ssl.policy.bolt.enabled=true
dbms.ssl.policy.bolt.tls_level=REQUIRED
dbms.ssl.policy.bolt.base_directory=certificates/bolt
dbms.ssl.policy.bolt.private_key=private.key
dbms.ssl.policy.bolt.public_certificate=public.crt

# 启用 HTTPS 协议 SSL
dbms.ssl.policy.https.enabled=true
dbms.ssl.policy.https.tls_level=REQUIRED
dbms.ssl.policy.https.base_directory=certificates/https

配置说明

  • dbms.ssl.policy.bolt.enabled:启用或禁用 Bolt 协议的 SSL/TLS 加密
  • dbms.ssl.policy.bolt.tls_level:设置 TLS 级别,REQUIRED 表示必须使用 SSL/TLS 连接
  • dbms.ssl.policy.bolt.base_directory:指定 SSL 证书的存储目录
  • dbms.ssl.policy.bolt.private_key:指定私钥文件名
  • dbms.ssl.policy.bolt.public_certificate:指定公钥证书文件名

防火墙配置

防火墙配置用于控制网络流量,只允许授权的 IP 地址和端口访问数据库。以下是 Neo4j 所需的基本防火墙规则:

bash
# 开放必要的端口
firewall-cmd --permanent --add-port=7474/tcp  # HTTP
firewall-cmd --permanent --add-port=7473/tcp  # HTTPS
firewall-cmd --permanent --add-port=7687/tcp  # Bolt
firewall-cmd --permanent --add-port=5000/tcp  # 集群发现
firewall-cmd --permanent --add-port=7000/tcp  # Raft 协议
firewall-cmd --reload

配置说明

  • firewall-cmd --permanent --add-port=7474/tcp:开放 HTTP 协议端口,用于 Neo4j Browser 访问
  • firewall-cmd --permanent --add-port=7473/tcp:开放 HTTPS 协议端口,用于安全的浏览器访问
  • firewall-cmd --permanent --add-port=7687/tcp:开放 Bolt 协议端口,用于客户端应用访问
  • firewall-cmd --permanent --add-port=5000/tcp:开放集群发现端口,用于集群节点间通信
  • firewall-cmd --permanent --add-port=7000/tcp:开放 Raft 协议端口,用于集群一致性通信
  • firewall-cmd --reload:重新加载防火墙规则,使配置生效

网络监控

1. 内置监控指标

cypher
# 查询网络相关指标
CALL dbms.queryJmx('org.neo4j:instance=kernel#0,name=Network') YIELD attributes RETURN attributes;

# 查询 Bolt 连接指标
CALL dbms.queryJmx('org.neo4j:instance=kernel#0,name=Bolt connections') YIELD attributes RETURN attributes;

# 查询 HTTP 连接指标
CALL dbms.queryJmx('org.neo4j:instance=kernel#0,name=HTTP connections') YIELD attributes RETURN attributes;

2. 监控工具

Prometheus + Grafana

yaml
# Prometheus 配置
global:
  scrape_interval: 15s

scrape_configs:
  - job_name: 'neo4j'
    static_configs:
      - targets: ['localhost:2004']

关键监控指标

指标名称描述告警阈值
neo4j_network_connection_count当前网络连接数> 80% 最大连接数
neo4j_network_received_bytes_total网络接收字节数异常增长
neo4j_network_sent_bytes_total网络发送字节数异常增长
neo4j_bolt_connections_active活跃 Bolt 连接数> 80% 最大连接数
neo4j_http_connections_active活跃 HTTP 连接数> 80% 最大连接数

Netstat

bash
# 查看网络连接状态
netstat -an | grep -E '(7474|7473|7687|5000|7000)'

# 查看连接统计
netstat -s | grep -E '(packets|errors|dropped)'

# 查看网络接口状态
netstat -i

ss 命令

bash
# 查看连接状态
ss -tuln | grep -E '(7474|7473|7687|5000|7000)'

# 查看连接数统计
ss -s

# 查看 ESTABLISHED 状态的连接
ss -t state established '( dport = :7687 or sport = :7687 )'

网络性能优化

1. 连接池优化

txt
# 调整 Bolt 连接池大小
dbms.connector.bolt.max_connection_pool_size=200

# 调整连接超时时间
dbms.connector.bolt.connection_timeout=60s

# 调整空闲连接超时时间
dbms.connector.bolt.idle_timeout=10m

2. 网络参数优化

Linux 内核参数

bash
# 调整 TCP 缓冲区大小
echo 'net.core.rmem_max=16777216' >> /etc/sysctl.conf
echo 'net.core.wmem_max=16777216' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem=4096 87380 16777216' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_wmem=4096 65536 16777216' >> /etc/sysctl.conf

# 启用 TCP 窗口缩放
echo 'net.ipv4.tcp_window_scaling=1' >> /etc/sysctl.conf

# 调整 TCP 连接超时
echo 'net.ipv4.tcp_fin_timeout=30' >> /etc/sysctl.conf

# 调整 TCP 保持连接参数
echo 'net.ipv4.tcp_keepalive_time=1200' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_keepalive_intvl=30' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_keepalive_probes=3' >> /etc/sysctl.conf

# 应用配置
sysctl -p

3. 集群网络优化

txt
# 调整集群心跳间隔
dbms.cluster.raft.heartbeat_interval=100ms

# 调整集群发现超时
dbms.cluster.discovery.timeout=2s

# 调整 Raft 超时
dbms.cluster.raft.timeout=500ms

# 启用 TCP 保持连接
dbms.jvm.additional=-Dio.netty.channel.socket.DatagramChannelConfig.setSoTimeout=30000
dbms.jvm.additional=-Dio.netty.channel.socket.SocketChannelConfig.setSoKeepalive=true

4. 压缩配置

txt
# 启用 Bolt 协议压缩
dbms.connector.bolt.compression_level=MEDIUM

# 启用 HTTP 响应压缩
dbms.connector.http.compression_enabled=true

网络安全

1. 访问控制

防火墙规则

bash
# 只允许特定 IP 访问
iptables -A INPUT -p tcp --dport 7687 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 7474 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 7473 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 7474,7473,7687 -j DROP

连接白名单

txt
# 设置允许连接的客户端 IP 地址
dbms.connector.bolt.address_whitelist=127.0.0.1,192.168.1.*
dbms.connector.http.address_whitelist=127.0.0.1,192.168.1.*
dbms.connector.https.address_whitelist=127.0.0.1,192.168.1.*

2. 加密通信

生成 SSL 证书

bash
# 创建证书目录
mkdir -p certificates/bolt certificates/https

# 生成自签名证书
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout certificates/bolt/private.key -out certificates/bolt/public.crt -subj "/CN=neo4j-node1/O=Neo4j/C=CN"
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout certificates/https/private.key -out certificates/https/public.crt -subj "/CN=neo4j-node1/O=Neo4j/C=CN"

配置 SSL 策略

txt
# Bolt 协议 SSL 配置
dbms.ssl.policy.bolt.enabled=true
dbms.ssl.policy.bolt.tls_level=REQUIRED
dbms.ssl.policy.bolt.base_directory=certificates/bolt
dbms.ssl.policy.bolt.private_key=private.key
dbms.ssl.policy.bolt.public_certificate=public.crt
dbms.ssl.policy.bolt.trusted_dir=trusted
dbms.ssl.policy.bolt.revoked_dir=revoked
dbms.ssl.policy.bolt.client_auth=NONE

# HTTPS 协议 SSL 配置
dbms.ssl.policy.https.enabled=true
dbms.ssl.policy.https.tls_level=REQUIRED
dbms.ssl.policy.https.base_directory=certificates/https
dbms.ssl.policy.https.private_key=private.key
dbms.ssl.policy.https.public_certificate=public.crt
dbms.ssl.policy.https.trusted_dir=trusted
dbms.ssl.policy.https.revoked_dir=revoked
dbms.ssl.policy.https.client_auth=NONE

3. 身份验证和授权

txt
# 启用身份验证
dbms.security.authentication_enabled=true

# 启用授权
dbms.security.authorization_enabled=true

# 设置密码策略
dbms.security.password_policy=default

网络故障排查

1. 常见网络问题

问题症状可能原因解决方案
连接拒绝无法连接到数据库端口未开放、防火墙阻止、服务未启动检查端口状态、防火墙规则、服务状态
连接超时连接尝试超时网络延迟高、服务器负载高、配置错误检查网络延迟、服务器负载、配置参数
连接断开连接意外断开网络不稳定、空闲超时、配置错误检查网络稳定性、调整超时参数
性能下降查询响应慢网络带宽不足、连接数过多、配置不当增加带宽、调整连接池大小、优化配置
集群通信失败集群节点无法通信网络配置错误、防火墙阻止、端口冲突检查网络配置、防火墙规则、端口占用

2. 故障排查工具

Ping

bash
# 检查网络连通性
ping neo4j-node1

# 检查网络延迟
time ping -c 10 neo4j-node1

Telnet

bash
# 检查端口是否开放
telnet neo4j-node1 7687

# 检查 HTTP 服务
curl -v http://neo4j-node1:7474

# 检查 HTTPS 服务
curl -v -k https://neo4j-node1:7473

Traceroute

bash
# 检查网络路径
traceroute neo4j-node1

# 检查网络路径(使用 ICMP)
traceroute -I neo4j-node1

Neo4j 工具

bash
# 检查服务器状态
neo4j status

# 检查数据库连接
cypher-shell -u neo4j -p password -a bolt://neo4j-node1:7687 "RETURN 'Hello, Neo4j!' AS message;"

# 查看集群状态
neo4j-admin cluster status

最佳实践

1. 配置最佳实践

  • 使用专用网络:为数据库和集群通信使用专用网络
  • 合理设置连接限制:根据服务器资源和业务需求设置最大连接数
  • 启用 SSL/TLS:保护所有网络通信安全
  • 使用强密码策略:确保身份验证安全
  • 定期更新证书:避免证书过期导致连接失败

2. 监控最佳实践

  • 监控关键指标:连接数、带宽使用率、延迟等
  • 设置合理告警:根据业务需求设置告警阈值
  • 定期分析:定期分析网络性能数据,发现潜在问题
  • 建立基线:了解正常情况下的网络性能

3. 优化最佳实践

  • 调整内核参数:根据硬件和网络环境调整 Linux 内核参数
  • 启用压缩:对带宽受限的环境启用协议压缩
  • 优化连接池:根据业务需求调整连接池大小和超时参数
  • 优化集群通信:根据集群规模和网络环境调整集群通信参数

4. 安全最佳实践

  • 使用防火墙:限制对数据库的访问
  • 启用访问控制:只允许授权 IP 访问
  • 定期审计:定期审计网络访问日志
  • 使用 VPN:对远程访问使用 VPN
  • 定期更新:及时更新数据库和操作系统补丁

常见问题(FAQ)

Q1: 如何检查 Neo4j 网络连接状态?

A1: 可以使用以下命令检查:

bash
# 查看网络连接状态
netstat -an | grep -E '(7474|7473|7687|5000|7000)'

# 查看 Neo4j 连接状态
ss -tuln | grep -E '(7474|7473|7687|5000|7000)'

# 测试数据库连接
cypher-shell -u neo4j -p password -a bolt://localhost:7687 "RETURN 'Hello, Neo4j!' AS message;"

Q2: 如何优化 Neo4j 网络性能?

A2: 优化方法包括:

  • 调整 Linux 内核参数
  • 优化连接池配置
  • 启用协议压缩
  • 调整集群通信参数
  • 使用专用网络

Q3: 如何保护 Neo4j 网络通信安全?

A3: 保护措施包括:

  • 启用 SSL/TLS 加密
  • 配置防火墙规则
  • 设置连接白名单
  • 使用强密码策略
  • 定期更新证书

Q4: 如何排查 Neo4j 连接问题?

A4: 排查步骤:

  1. 检查服务是否运行
  2. 检查端口是否开放
  3. 检查防火墙规则
  4. 检查网络连通性
  5. 检查配置参数
  6. 检查日志文件

Q5: 如何设置 Neo4j 最大连接数?

A5: 在 neo4j.conf 中配置:

txt
dbms.connector.bolt.max_connection_pool_size=100
dbms.connector.http.max_connection_pool_size=50
dbms.connector.https.max_connection_pool_size=50

Q6: 如何监控 Neo4j 网络指标?

A6: 监控方法:

  • 使用 Prometheus + Grafana 监控
  • 使用内置 JMX 指标
  • 使用操作系统工具(netstat, ss, etc.)
  • 使用第三方监控工具

Q7: 如何处理 Neo4j 连接超时问题?

A7: 处理方法:

  • 检查网络延迟
  • 调整连接超时参数
  • 优化查询性能
  • 增加服务器资源

Q8: 如何配置 Neo4j 集群网络?

A8: 集群网络配置包括:

  • 设置集群发现端点
  • 配置集群通信端口
  • 调整集群超时参数
  • 启用集群安全

Q9: 如何启用 Neo4j SSL/TLS?

A9: 启用步骤:

  1. 生成 SSL 证书
  2. 配置 SSL 策略
  3. 启用协议 SSL
  4. 测试 SSL 连接

Q10: 如何限制 Neo4j 访问 IP?

A10: 限制方法:

  • 配置防火墙规则
  • 设置连接白名单
  • 使用网络隔离
  • 使用 VPN