Apache DolphinScheduler 连接 MySQL 数据库时 "Public Key Retrieval is not allowed" 问题解析

在使用 Apache DolphinScheduler 3.1.x 版本初始化数据库时，部分用户可能会遇到 "Public Key Retrieval is not allowed" 的错误提示。这个问题本质上是 MySQL JDBC 连接的安全机制导致的常见配置问题。

问题背景

当通过 DolphinScheduler 提供的 upgrade-schema.sh 脚本初始化数据库时，系统会尝试建立与 MySQL 数据库的连接。在某些 MySQL 服务器配置下，特别是启用了 SSL 加密连接的情况下，JDBC 驱动会默认禁止公钥检索操作，这是 MySQL 的安全机制之一。

技术原理

MySQL 8.0 及以上版本默认启用了 caching_sha2_password 认证插件，该插件在建立连接时需要检索服务器的公钥。如果客户端配置不允许公钥检索（allowPublicKeyRetrieval=false），就会出现上述错误。

解决方案

要解决这个问题，需要在 JDBC 连接字符串中添加以下参数：

allowPublicKeyRetrieval=true

完整的连接字符串示例如下：

jdbc:mysql://localhost:3306/dolphinscheduler?useUnicode=true&characterEncoding=UTF-8&allowPublicKeyRetrieval=true

配置建议

1. 开发环境：可以直接添加 allowPublicKeyRetrieval=true 参数
2. 生产环境：建议配置完整的 SSL 证书验证，而不是简单地允许公钥检索

安全注意事项

虽然 allowPublicKeyRetrieval=true 可以快速解决问题，但在生产环境中应当考虑更安全的替代方案：

1. 配置 MySQL 服务器使用 SSL 证书
2. 在客户端指定服务器公钥文件
3. 使用更安全的认证方式

总结

这个问题不是 DolphinScheduler 本身的缺陷，而是 MySQL 安全机制与 JDBC 驱动交互时产生的常见配置问题。理解其背后的安全原理有助于我们做出更合理的配置选择，既保证系统正常运行，又不降低安全级别。

对于初次接触 DolphinScheduler 的用户，建议在开发测试阶段使用上述解决方案快速搭建环境，但在生产部署前应当仔细评估安全配置方案。