如何在多网卡服务器中配置MySQL绑定IP地址

作者:袖梨 2026-07-01
MySQL默认监听0.0.0.0会暴露所有网卡IP,必须显式设bind-address为业务所需单IP(如192.168.209.121),配合防火墙按网卡/IP放行及user@host权限控制,缺一不可。

MySQL 默认监听 0.0.0.0,在多网卡服务器上等于把所有 IP(包括公网、内网、测试网段)都暴露出去——这不是“能连上”,而是“谁都能连上”。必须显式限制它只绑定业务需要的 IP。

确认 MySQL 当前监听地址和端口

先看真实情况,别猜配置文件是否生效:

  • 运行 ss -tlnp | grep :3306netstat -tuln | grep :3306
  • 重点看输出中第二列(Local Address:Port),例如:*:3306 表示监听所有 IPv4 地址;127.0.0.1:3306 表示仅本地;192.168.209.121:3306 才是正确绑定到某张网卡
  • 如果看到 :::3306(IPv6 全监听),说明 bind-address 对 IPv6 无效,需额外处理(见下条)

修改 my.cnf / my.ini 中的 bind-address

bind-address 是核心开关,但它不支持逗号分隔多个 IP(MySQL 官方明确不支持)。常见误区是写成 bind-address = 127.0.0.1,192.168.1.100 ——这会导致 MySQL 启动失败或静默忽略后半部分。

  • 只允许填一个 IPv4 地址,例如:bind-address = 192.168.209.121(对应内网网卡)
  • 若还需监听本地管理连接,保留 127.0.0.1,但必须配合 skip-networking = OFF(默认即关)
  • IPv6 需单独控制:MySQL 5.7+ 支持 bind-address = ::1(仅本地 IPv6),但无法同时绑定 IPv4 和 IPv6 地址;想两者兼顾,只能设为 0.0.0.0 并靠防火墙兜底——不推荐
  • WAMP 用户注意:my.ini 路径通常为 WAMPbinmysqlmysqlX.X.Xmy.ini,改完必须重启服务,不是重载

MySQL 不支持多 IP 绑定?用防火墙补位

MySQL 本身不提供“监听多个业务 IP”的原生能力。所谓“多网卡绑定”,本质是让 MySQL 监听一个安全 IP(如内网),再通过防火墙规则决定哪些来源可访问该端口。

  • 例如:MySQL 绑定 192.168.209.121,但你想允许另一台内网机器 192.168.209.50 连接 3306,则防火墙放行即可,无需 MySQL 改配置
  • 禁止公网访问 3306 的最简命令:iptables -A INPUT -i eth0 -p tcp --dport 3306 -j DROP(假设 eth0 是公网网卡)
  • 更精细的做法是按源 IP 段放行:iptables -A INPUT -s 192.168.209.0/24 -p tcp --dport 3306 -j ACCEPT,然后 iptables -P INPUT DROP
  • 务必检查 iptables -L -n -v 输出,确认规则已加载且计数器在增长

用户权限才是跨网卡访问的关键

即使 MySQL 绑定了某个 IP,如果创建用户时没指定来源主机,照样连不上。权限粒度比绑定更细:

  • 错误示范:CREATE USER 'app'@'%' IDENTIFIED BY 'pwd'; —— % 允许任意 IP,但前提是 MySQL 本身得监听那个 IP
  • 正确做法:CREATE USER 'app'@'192.168.209.50' IDENTIFIED BY 'pwd';CREATE USER 'app'@'192.168.209.%' IDENTIFIED BY 'pwd';
  • 执行 GRANT SELECT ON mydb.* TO 'app'@'192.168.209.50'; FLUSH PRIVILEGES; 后才真正生效
  • 注意:MySQL 8.0 默认启用 caching_sha2_password 插件,某些旧客户端可能不兼容,必要时加 IDENTIFIED WITH mysql_native_password

真正容易被忽略的是:改了 bind-address 后不验证 ss 输出,也不检查用户 host 字段是否匹配实际来源 IP。这两步任缺其一,都会导致“配置写了,却连不上”。

相关文章

精彩推荐