【51CTO.com快譯】默認(rèn)情況下,MySQL服務(wù)器僅偵聽來自localhost的連接,這意味著只能由運(yùn)行在同一主機(jī)上的應(yīng)用程序訪問它。
但在某些情況下,有必要允許遠(yuǎn)程連接。比如你想要從本地系統(tǒng)連接到遠(yuǎn)程MySQL服務(wù)器,或者使用多服務(wù)器部署、應(yīng)用程序與數(shù)據(jù)庫服務(wù)器不在同一臺(tái)機(jī)器上運(yùn)行時(shí)。
本指南將逐步介紹允許遠(yuǎn)程連接到MySQL服務(wù)器所需的步驟。這番說明同樣適用于MariaDB。
配置MySQL服務(wù)器
第一步是設(shè)置MySQL服務(wù)器,以偵聽機(jī)器上的某個(gè)特定IP地址或所有IP地址。
如果MySQL服務(wù)器和客戶端可以通過專用網(wǎng)絡(luò)相互通信,那么最好的選擇是設(shè)置MySQL服務(wù)器,僅偵聽專用IP。否則,如果你想通過公共網(wǎng)絡(luò)連接到服務(wù)器,就設(shè)置MySQL服務(wù)器,偵聽機(jī)器上的所有IP地址。
為此,你需要編輯MySQL配置文件,添加或更改bind-address選項(xiàng)的值。你可以設(shè)置單個(gè)IP地址和IP范圍。如果地址是0.0.0.0,MySQL服務(wù)器接受所有主機(jī)IPv4接口上的連接。如果你在系統(tǒng)上配置了IPv6,改而使用::,而不是0.0.0.0。
MySQL配置文件的位置因發(fā)行版而異。在Ubuntu和Debian中,該文件位于/etc/mysql/mysql.conf.d/mysqld.cnf,而在基于Red Hat的發(fā)行版(比如CentOS)中,該文件位于/etc/my.cnf。
使用文本編輯器打開文件:
$sudonano/etc/mysql/mysql.conf.d/mysqld.cnf
搜索以bind-address開頭的行,將其值設(shè)置為MySQL服務(wù)器應(yīng)偵聽的IP地址。
默認(rèn)情況下,該值被設(shè)置為127.0.0.1(僅在localhost中偵聽)。
在這個(gè)例子中,我們將值改為0.0.0.0來設(shè)置MySQL服務(wù)器,偵聽所有IPv4接口:
mysqld.cnf
bind-address=0.0.0.0
#skip-networking
如果有一行含有skip-networking,刪除該行或通過在行開頭添加#來注釋掉它。
在MySQL 8.0及更高版本中,bind-address指令可能不存在。在這種情況下,將其添加到[mysqld]部分下。
完成后,重新啟動(dòng)MySQL服務(wù)以使更改生效。只有root用戶或擁有sudo權(quán)限的用戶才能重新啟動(dòng)服務(wù)。
想在Debian或Ubuntu上重新啟動(dòng)MySQL服務(wù),請(qǐng)輸入:
$sudosystemctlrestartmysqld
在基于RedHat的發(fā)行版(比如CentOS)上,想重新啟動(dòng)服務(wù),運(yùn)行:
$sudosystemctlrestartmysql
授權(quán)用戶從遠(yuǎn)程機(jī)器來訪問
下一步是允許遠(yuǎn)程用戶訪問數(shù)據(jù)庫。
輸入以下內(nèi)容,以root用戶身份登錄MySQL服務(wù)器:
$sudomysql
如果你使用舊的原生MySQL驗(yàn)證插件以root用戶身份登錄,請(qǐng)運(yùn)行以下命令,出現(xiàn)提示時(shí)輸入密碼:
$mysql-uroot-p
從MySQL shell里面,使用GRANT語句為遠(yuǎn)程用戶授予訪問權(quán)限。
mysql>GRANTALLONdatabase_name.*TOuser_name@'ip_address'IDENTIFIEDBY'user_password';
其中:
database_name是用戶將連接到的數(shù)據(jù)庫的名稱。
user_name是MySQL用戶的名稱。
ip_address是用戶將連接的IP地址。使用%允許用戶從任何IP地址進(jìn)行連接。
user_password是用戶密碼。
比如說,要授予名為foo、使用密碼my_password的用戶從IP是10.8.0.5的客戶端機(jī)器訪問數(shù)據(jù)庫dbname,你要運(yùn)行:
mysql>GRANTALLONdbname.*TOfoo@'10.8.0.5'BY'my_passwd';
配置防火墻
最后一步是配置防火墻配置,允許來自遠(yuǎn)程機(jī)器的通過端口3306(MySQL默認(rèn)端口)入站的流量。
Iptables
如果你使用iptables作為防火墻,以下命令將允許從互聯(lián)網(wǎng)上的任何IP地址訪問MySQL端口。這很不安全。
$sudoiptables-AINPUT-ptcp--destination-port3306-jACCEPT
允許從特定IP地址訪問:
$sudoiptables-AINPUT-s10.8.0.5-ptcp--destination-port3306-jACCEPT
UFW
UFW是Ubuntu中的默認(rèn)防火墻工具。要允許從互聯(lián)網(wǎng)上的任何IP地址進(jìn)行訪問(很不安全),請(qǐng)運(yùn)行:
$sudoufwallow3306/tcp
允許從特定IP地址訪問:
$sudoufwallowfrom10.8.0.5toanyport3306
FirewallD
FirewallD是CentOS中的默認(rèn)防火墻管理工具。要允許從互聯(lián)網(wǎng)上的任何IP地址進(jìn)行訪問(很不安全),請(qǐng)輸入:
$sudofirewall-cmd--permanent--zone=public--add-port=3306/tcp
$sudofirewall-cmd--reload
要允許從特定端口上的特定IP地址進(jìn)行訪問,你可以創(chuàng)建新的FirewallD區(qū)域或使用豐富的規(guī)則。不妨創(chuàng)建一個(gè)名為mysqlzone的新區(qū)域:
$sudofirewall-cmd--new-zone=mysqlzone--permanent
$sudofirewall-cmd--reload
$sudofirewall-cmd--permanent--zone=mysqlzone--add-source=10.8.0.5/32
$sudofirewall-cmd--permanent--zone=mysqlzone--add-port=3306/tcp
$sudofirewall-cmd--reload
驗(yàn)證更改
要驗(yàn)證遠(yuǎn)程用戶可以連接到MySQL服務(wù)器,請(qǐng)運(yùn)行以下命令:
mysql-uuser_name-hmysql_server_ip-p
其中user_name是你授予訪問權(quán)限的用戶的名稱,mysql_server_ip是運(yùn)行MySQL服務(wù)器的主機(jī)的IP地址。
如果一切設(shè)置正確,你就能夠登錄到遠(yuǎn)程MySQL服務(wù)器。
如果你收到如下錯(cuò)誤,端口3306未打開,或者M(jìn)ySQL服務(wù)器未偵聽IP地址。
Output
ERROR2003(HY000):Can'tconnecttoMySQLserveron'10.8.0.5'(111)"
以下錯(cuò)誤表明你嘗試登錄的用戶沒有訪問遠(yuǎn)程MySQL服務(wù)器的權(quán)限。
Output
"ERROR1130(HY000):Host‘10.8.0.5’isnotallowedtoconnecttothisMySQLserver"
結(jié)論
MySQL是默認(rèn)流行的開源數(shù)據(jù)庫服務(wù)器,它僅偵聽來自localhost的入站連接。
要允許遠(yuǎn)程連接到MySQL服務(wù)器,你需要執(zhí)行以下步驟:
1. 配置MySQL服務(wù)器,偵聽所有接口或特定接口。
2. 授予遠(yuǎn)程用戶訪問權(quán)限。
3. 打開防火墻中的MySQL端口。
原文標(biāo)題:How to Allow Remote Connections to MySQL Database Server
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】
