【51CTO.com快譯】默認情況下，MySQL服務器僅偵聽來自localhost的連接，這意味著只能由運行在同一主機上的應用程序訪問它。

但在某些情況下，有必要允許遠程連接。比如你想要從本地系統連接到遠程MySQL服務器，或者使用多服務器部署、應用程序與數據庫服務器不在同一臺機器上運行時。

本指南將逐步介紹允許遠程連接到MySQL服務器所需的步驟。這番說明同樣適用于MariaDB。

配置MySQL服務器

第一步是設置MySQL服務器，以偵聽機器上的某個特定IP地址或所有IP地址。

如果MySQL服務器和客戶端可以通過專用網絡相互通信，那么最好的選擇是設置MySQL服務器，僅偵聽專用IP。否則，如果你想通過公共網絡連接到服務器，就設置MySQL服務器，偵聽機器上的所有IP地址。

為此，你需要編輯MySQL配置文件，添加或更改bind-address選項的值。你可以設置單個IP地址和IP范圍。如果地址是0.0.0.0，MySQL服務器接受所有主機IPv4接口上的連接。如果你在系統上配置了IPv6，改而使用::，而不是0.0.0.0。

MySQL配置文件的位置因發行版而異。在Ubuntu和Debian中，該文件位于/etc/mysql/mysql.conf.d/mysqld.cnf，而在基于Red Hat的發行版(比如CentOS)中，該文件位于/etc/my.cnf。

使用文本編輯器打開文件：

$sudonano/etc/mysql/mysql.conf.d/mysqld.cnf

搜索以bind-address開頭的行，將其值設置為MySQL服務器應偵聽的IP地址。

默認情況下，該值被設置為127.0.0.1(僅在localhost中偵聽)。

在這個例子中，我們將值改為0.0.0.0來設置MySQL服務器，偵聽所有IPv4接口：

mysqld.cnf

bind-address=0.0.0.0

#skip-networking

如果有一行含有skip-networking，刪除該行或通過在行開頭添加#來注釋掉它。

在MySQL 8.0及更高版本中，bind-address指令可能不存在。在這種情況下，將其添加到[mysqld]部分下。

完成后，重新啟動MySQL服務以使更改生效。只有root用戶或擁有sudo權限的用戶才能重新啟動服務。

想在Debian或Ubuntu上重新啟動MySQL服務，請輸入：

$sudosystemctlrestartmysqld

在基于RedHat的發行版(比如CentOS)上，想重新啟動服務，運行：

$sudosystemctlrestartmysql

授權用戶從遠程機器來訪問

下一步是允許遠程用戶訪問數據庫。

輸入以下內容，以root用戶身份登錄MySQL服務器：

$sudomysql

如果你使用舊的原生MySQL驗證插件以root用戶身份登錄，請運行以下命令，出現提示時輸入密碼：

$mysql-uroot-p

從MySQL shell里面，使用GRANT語句為遠程用戶授予訪問權限。

mysql>GRANTALLONdatabase_name.*TOuser_name@'ip_address'IDENTIFIEDBY'user_password';

其中：

database_name是用戶將連接到的數據庫的名稱。

user_name是MySQL用戶的名稱。

ip_address是用戶將連接的IP地址。使用%允許用戶從任何IP地址進行連接。

user_password是用戶密碼。

比如說，要授予名為foo、使用密碼my_password的用戶從IP是10.8.0.5的客戶端機器訪問數據庫dbname，你要運行：

mysql>GRANTALLONdbname.*TOfoo@'10.8.0.5'BY'my_passwd';

配置防火墻

最后一步是配置防火墻配置，允許來自遠程機器的通過端口3306(MySQL默認端口)入站的流量。

Iptables

如果你使用iptables作為防火墻，以下命令將允許從互聯網上的任何IP地址訪問MySQL端口。這很不安全。

$sudoiptables-AINPUT-ptcp--destination-port3306-jACCEPT

允許從特定IP地址訪問：

$sudoiptables-AINPUT-s10.8.0.5-ptcp--destination-port3306-jACCEPT

UFW

UFW是Ubuntu中的默認防火墻工具。要允許從互聯網上的任何IP地址進行訪問(很不安全)，請運行：

$sudoufwallow3306/tcp

允許從特定IP地址訪問：

$sudoufwallowfrom10.8.0.5toanyport3306

FirewallD

FirewallD是CentOS中的默認防火墻管理工具。要允許從互聯網上的任何IP地址進行訪問(很不安全)，請輸入：

$sudofirewall-cmd--permanent--zone=public--add-port=3306/tcp

$sudofirewall-cmd--reload

要允許從特定端口上的特定IP地址進行訪問，你可以創建新的FirewallD區域或使用豐富的規則。不妨創建一個名為mysqlzone的新區域：

$sudofirewall-cmd--new-zone=mysqlzone--permanent

$sudofirewall-cmd--reload

$sudofirewall-cmd--permanent--zone=mysqlzone--add-source=10.8.0.5/32

$sudofirewall-cmd--permanent--zone=mysqlzone--add-port=3306/tcp

$sudofirewall-cmd--reload

驗證更改

要驗證遠程用戶可以連接到MySQL服務器，請運行以下命令：

mysql-uuser_name-hmysql_server_ip-p

其中user_name是你授予訪問權限的用戶的名稱，mysql_server_ip是運行MySQL服務器的主機的IP地址。

如果一切設置正確，你就能夠登錄到遠程MySQL服務器。

如果你收到如下錯誤，端口3306未打開，或者MySQL服務器未偵聽IP地址。

Output

ERROR2003(HY000):Can'tconnecttoMySQLserveron'10.8.0.5'(111)"

以下錯誤表明你嘗試登錄的用戶沒有訪問遠程MySQL服務器的權限。

Output

"ERROR1130(HY000):Host‘10.8.0.5’isnotallowedtoconnecttothisMySQLserver"

結論

MySQL是默認流行的開源數據庫服務器，它僅偵聽來自localhost的入站連接。

要允許遠程連接到MySQL服務器，你需要執行以下步驟：

1. 配置MySQL服務器，偵聽所有接口或特定接口。

2. 授予遠程用戶訪問權限。

3. 打開防火墻中的MySQL端口。

原文標題：How to Allow Remote Connections to MySQL Database Server

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】