阿里云ESC安装并远程连接mysql

安转mysql（CentOS 7）

前提条件

已创建一台ECS实例。

镜像：公共镜像CentOS 7.8 64位。

网络：专有网络VPC，并绑定了固定公网IP。

背景信息

本教程在示例步骤中将部署MySQL 8.0.32版本。您在实际操作时，MySQL的版本可能因软件源的更新而有所不同。关于MySQL相关安装路径说明如下：

• 配置文件：/etc/my.cnf

• 数据存储：/var/lib/mysql

• 命令文件：/usr/bin和/usr/sbin

步骤一：安装MySQL

1、运行以下命令，更新YUM源。

sudo rpm -Uvh https://dev.mysql.com/get/mysql80-community-release-el7-3.noarch.rpm

2、运行以下命令，安装MySQL。

sudo yum -y install mysql-community-server --enablerepo=mysql80-community --nogpgcheck

3、运行以下命令，查看MySQL版本号。

mysql -V

4、返回结果如下，表示MySQL安装成功。

[ecs-user@iZbp1880rqtecykgcdj**** ~]$ mysql -V
mysql Ver 8.0.32 for Linux on x86_64 (MySQL Community Server - GPL)

步骤二：配置MySQL

1、运行以下命令，启动MySQL服务。

sudo systemctl start mysqld

2、运行以下命令，设置MySQL服务开机自启动。

sudo systemctl enable mysqld

运行以下命令，查看/var/log/mysqld.log文件，获取并记录root用户的初始密码。

sudo grep 'temporary password' /var/log/mysqld.log

3、执行​命令结果示例如下。

2022-02-14T09:27:18.470008Z 6 [Note] [MY-010454] [Server] A temporary password is gen  for root@localhost: r_V&f2wyu_vI

示例末尾的r_V&f2wyu_vI为初始密码，后续在对MySQL进行安全性配置时，需要使用该初始密码。

4、运行下列命令，对MySQL进行安全性配置。

sudo mysql_secure_installation

a. 根据提示信息，重置MySQL数据库root用户的密码。

说明 在输入密码时，系统为了最大限度的保证数据安全，命令行将不做任何回显。您只需要输入正确的密码信息，然后按Enter键即可。

Enter password for user root: #输入已获取的root用户初始密码

The existing password for the user account root has expired. Please set a new password.

New password: #输入新的MySQL密码

Re-enter new password: #重复输入新的MySQL密码
The 'validate_password' component is installed on the server.
The subsequent steps will run with the existing configuration
of the component.
Using existing password for root.
Change the password for root ? ((Press y|Y for Yes, any other key for No) :Y #输入Y选择更新MySQL密码。您也可以输入N不再更新MySQL密码。

New password: #输入新的MySQL密码

Re-enter new password: #重复输入新的MySQL密码

Estimated strength of the password: 100
Do you wish to continue with the password provided?(Press y|Y for Yes, any other key for No) :Y #输入Y确认使用已设置的密码。

b. 根据提示信息，删除匿名用户。

By default, a MySQL installation has an anonymous user,
allowing anyone to log into MySQL without having to have
a user account created for them. This is intended only for
testing, and to make the installation go a bit smoother.
You should remove them before moving into a production
environment.

Remove anonymous users? (Press y|Y for Yes, any other key for No) :Y #输入Y删除MySQL默认的匿名用户。
Success.

c. 禁止root账号远程登录。

Normally, root should only be allowed to connect from
'localhost'. This ensures that someone cannot guess at
the root password from the network.

Disallow root login remotely? (Press y|Y for Yes, any other key for No) :Y #输入Y禁止root远程登录。
Success.

d. 删除test库以及对test库的访问权限。

By default, MySQL comes with a database named 'test' that
anyone can access. This is also intended only for testing,
and should be removed before moving into a production
environment.

Remove test database and access to it? (Press y|Y for Yes, any other key for No) :Y #输入Y删除test库以及对test库的访问权限。
 - Dropping test database...
Success.

 - Removing privileges on test database...
Success.

e. 重新加载授权表。

Reloading the privilege tables will ensure that all changes
made so far will take effect immediately.

Reload privilege tables now? (Press y|Y for Yes, any other key for No) :Y #输入Y重新加载授权表。
Success.

All done!

安全性配置的更多信息，请参见MySQL官方文档。

修改密码安全级别

#查看初始密码策略
SHOW VARIABLES LIKE ‘validate_password%’;
显示变量，如“validate_password%”;

#设置密码安全等级为LOW
set global validate_password_policy=LOW;
 
#设置必须包含大小写字数量符为0
set global validate_password_mixed_case_count = 0;
 
#设置必须包含特殊字符数量为0
set global validate_password_special_char_count = 0;
 
#设值必须包含数字的数量为0
set global validate_password_number_count = 0;
 
#修改mysql密码为123
alter user root@localhost identified by '123';

由“123”标识的替代用户root@localhost;
 
#授权root用户可以在任意IP使用密码123登录
grant all privileges on *.* to 'root'@'%' identified by '123' with grant option;
 
#刷新权限
flush privileges;

步骤三：远程访问MySQL数据库

1. 为ECS实例所属的安全组入方向放行MySQL所需的端口号。
   MySQL默认占用的端口号为3306。您需要在ECS实例所使用的安全组入方向添加规则并放行3306端口。具体步骤，请参见添加安全组规则。
2. 在ECS实例上，创建远程登录MySQL的账号。
   a.运行以下命令后，输入root用户的密码登录MySQL。

sudo mysql -uroot -p

依次运行以下命令，创建远程登录MySQL的账号。

重要 实际创建账号时，需将示例密码123***更换为符合要求的密码，并妥善保存。密码要求：长度为8至30个字符，必须同时包含大小写英文字母、数字和特殊符号。可以使用以下特殊符号：
()` ~!@#$%^&-+=|{}[]:;‘<>,.?/

#创建数据库用户userTest,并授予远程连接权限。

create user 'userTest'@'%' identified by '12****'; 
#为dmsTest用户授权数据库所有权限。
grant all privileges on *.* to 'dmsTest'@'%'; 
#刷新权限。
flush privileges; 
# 执行以下命令，退出数据库。

exit

3、查看用户信息：
使用mysql数据库：

use mysql;

查询用户密码命令：

mysql> select host, user, authentication_string, plugin from user；

查询用户密码命令：mysql> 从用户中选择主机、用户、authentication_string、插件;

mysql> select host, user, authentication_string, plugin from user;
+-----------+------------------+------------------------------------------------------------------------+-----------------------+
| host      | user             | authentication_string                                                  | plugin                |
+-----------+------------------+------------------------------------------------------------------------+-----------------------+
| %         | userTest            | $A$005$YhPKWndlX4cs    0.FO2r8nnXlJs9HMB/wqk6vGR8QTZRbg.sc94f7oOmh4 | caching_sha2_password |
| localhost | mysql.infoschema | $A$005$THISISACOMBINATIONOFINVALIDSALTANDPASSWORDTHATMUSTNEVERBRBEUSED | caching_sha2_password |
| localhost | mysql.session    | $A$005$THISISACOMBINATIONOFINVALIDSALTANDPASSWORDTHATMUSTNEVERBRBEUSED | caching_sha2_password |
| localhost | mysql.sys        | $A$005$THISISACOMBINATIONOFINVALIDSALTANDPASSWORDTHATMUSTNEVERBRBEUSED | caching_sha2_password |
| localhost | root             | $A$005$1tMml
                                             _P}<TtV8h}w7DFRCT.g1ZmMG1tn/e6F5icJ7D3OgIh8kedqTys1Ci1 | caching_sha2_password |
+-----------+------------------+------------------------------------------------------------------------+-----------------------+

host: 允许用户登录的ip‘位置’%表示可以远程；
user:当前数据库的用户名；
authentication_string: 用户密码 authentication_string： 用户密码
pulgin:Mysql8.0之前数据库加密方式：mysql_native_password ；
MySQL8.0数据库加密方式为：caching_sha2_password ；

综上，host字段均为localhost，意思是只允许本地IP访问，所以是无法被远程访问的。

步骤四：打开防火墙端口

具体操作步骤如下：

1、查看当前的防火墙状态

sudo firewall-cmd --state

2、如果防火墙处于关闭状态，则可以跳过此步骤。如果防火墙处于开启状态，则需要添加一个新的规则来允许 3306 端口的通信

sudo firewall-cmd --zone=public --add-port=3306/tcp --permanent

3、重新加载防火墙规则

sudo firewall-cmd --reload

以上命令是针对使用 firewalld 防火墙的系统。如果您使用的是 iptables，您需要使用相应的命令。例如，您可以使用以下命令打开 3306 端口：

sudo iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

请注意，这些命令只是打开了 3306 端口，并允许外部网络连接到数据库服务器。如果您需要更严格的安全措施，请确保仅允许必要的源 IP 地址或子网连接到数据库。