一、网络层基础检查：确保物理连通性

外网连接MySQL的首要前提是网络可达性，需从三个层面逐层验证：

1.1 服务器公网IP与端口监听状态

使用telnet或nc命令测试端口连通性：

telnet <服务器公网IP> 3306
# 或
nc -zv <服务器公网IP> 3306

若连接失败，需检查：

• 云服务器安全组规则：确保3306端口已开放（如AWS安全组需添加Inbound规则）
• 本地网络限制：企业网络可能屏蔽3306端口，可尝试切换4G网络测试
• 服务器防火墙配置：

  # CentOS系统检查
  sudo firewall-cmd --list-ports
  sudo firewall-cmd --add-port=3306/tcp --permanent
  sudo firewall-cmd --reload

1.2 路由与DNS解析验证

通过traceroute或mtr工具检查路由连通性：

traceroute <服务器公网IP>
# 或
mtr --report <服务器公网IP>

若出现丢包或高延迟，需联系网络服务商优化路由。同时验证DNS解析是否正确：

nslookup <域名>
# 或
dig <域名>

二、MySQL服务端配置深度排查

2.1 绑定地址配置修正

MySQL默认仅监听127.0.0.1，需修改my.cnf或my.ini：

[mysqld]
bind-address = 0.0.0.0  # 或指定公网IP
# 禁用DNS反向解析（提升连接速度）
skip-name-resolve = 1

修改后重启服务：

sudo systemctl restart mysql
# 或
sudo service mysql restart

2.2 用户权限精确授权

MySQL权限系统基于用户@主机模式，需为外网IP或网段授权：

-- 允许特定IP连接
CREATE USER 'username'@'192.168.1.%' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON database.* TO 'username'@'192.168.1.%';
-- 允许任意主机连接（生产环境慎用）
CREATE USER 'username'@'%' IDENTIFIED BY 'strong_password';
GRANT SELECT,INSERT ON database.* TO 'username'@'%';
-- 刷新权限
FLUSH PRIVILEGES;

安全建议：

• 使用强密码（长度≥12位，包含大小写、数字、特殊字符）
• 通过SELECT host,user FROM mysql.user;验证授权范围
• 定期审计权限：SELECT * FROM mysql.db;

三、连接参数优化与故障诊断

3.1 连接字符串规范写法

推荐使用完整URI格式：

// JDBC示例
String url = "jdbc:mysql://<公网IP>:3306/dbname?useSSL=false&serverTimezone=UTC";

关键参数说明：

• useSSL：生产环境建议设为true，测试环境可临时禁用
• connectTimeout：设置超时时间（毫秒）
• socketTimeout：设置Socket超时

3.2 连接池配置调优

以HikariCP为例：

HikariConfig config = new HikariConfig();
config.setJdbcUrl("jdbc:mysql://...");
config.setUsername("user");
config.setPassword("pass");
config.setMaximumPoolSize(10);      // 根据并发量调整
config.setConnectionTimeout(30000); // 30秒超时
config.setIdleTimeout(600000);      // 10分钟空闲回收

3.3 日志分析定位问题

启用MySQL通用查询日志：

SET GLOBAL general_log = 'ON';
SET GLOBAL log_output = 'FILE';
-- 日志路径通过show variables like 'general_log_file'查看

分析日志中的连接拒绝记录，常见错误码：

• 1045：权限不足
• 1130：主机不允许连接
• 2003：网络连接失败

四、安全防护与性能优化

4.1 最小权限原则实施

通过REVOKE命令回收多余权限：

REVOKE ALL PRIVILEGES ON *.* FROM 'username'@'%';
GRANT SELECT,INSERT ON specific_db.* TO 'username'@'%';

4.2 连接数限制配置

在my.cnf中设置：

[mysqld]
max_connections = 200       # 根据服务器配置调整
max_user_connections = 50   # 单用户最大连接数
wait_timeout = 300          # 非交互连接超时（秒）
interactive_timeout = 600   # 交互连接超时

4.3 中间件解决方案

对于高并发场景，可部署：

• ProxySQL：实现读写分离、连接池

  # proxysql.cnf示例
  datadir="/var/lib/proxysql"
  admin_variables={
    admin_credentials="admin:admin"
    mysql_admin_interfaces="0.0.0.0:6032"
  }
  mysql_variables={
    threads=4
    max_connections=2048
  }

• MySQL Router：官方提供的轻量级中间件

五、典型故障案例解析

案例1：云服务器安全组未放行

现象：telnet测试连接超时
解决：

1. 登录云控制台
2. 进入安全组规则
3. 添加入站规则：协议TCP，端口3306，来源0.0.0.0/0（或指定IP）

案例2：用户授权范围过小

现象：ERROR 1130 (HY000): Host 'xxx' is not allowed to connect
解决：

-- 查看现有授权
SELECT host,user FROM mysql.user WHERE user='existing_user';
-- 扩展授权范围
GRANT ALL PRIVILEGES ON *.* TO 'existing_user'@'%' IDENTIFIED BY 'password';
FLUSH PRIVILEGES;

案例3：SSL配置错误

现象：ERROR 2026 (HY000): SSL connection error
解决：

1. 检查服务器SSL配置：

   SHOW VARIABLES LIKE '%ssl%';

2. 客户端连接时明确指定SSL参数：

   // JDBC添加SSL参数
   String url = "jdbc//host:3306/db?useSSL=true&requireSSL=true&verifyServerCertificate=false";

六、预防性维护建议

1. 定期审计：每月执行mysql_secure_installation脚本
2. 监控告警：部署Prometheus+Grafana监控连接数、QPS等指标
3. 备份策略：设置cron任务定期执行mysqldump
4. 版本升级：及时应用MySQL官方安全补丁

通过系统化的排查流程和针对性的解决方案，90%以上的外网连接问题均可得到解决。建议开发人员建立标准化的问题处理checklist，结合自动化监控工具，实现从被动救火到主动预防的转变。