MySQL容器在Kubernetes中root用户访问被拒绝问题解析

问题背景

在使用Kubernetes部署MySQL 8.0容器时，开发者遇到了root用户访问被拒绝的问题。具体表现为：虽然能够在Pod内部成功使用root密码登录MySQL，但通过外部客户端连接时却收到"access denied for user 'root'"的错误提示。

问题分析

从日志中可以观察到几个关键点：

1. MySQL容器启动时显示"root@localhost is created with an empty password"警告，这与环境变量中设置的MYSQL_ROOT_PASSWORD似乎产生了矛盾。

2. 外部连接时使用的是MySQL 8.0默认的caching_sha2_password认证插件，而许多传统客户端可能不支持这种认证方式。

3. 在Docker Compose环境下相同的配置可以正常工作，但在Kubernetes中却出现问题，这表明问题可能与Kubernetes特定的配置或网络设置有关。

解决方案

1. 配置MySQL认证插件

MySQL 8.0默认使用caching_sha2_password插件，为了兼容更多客户端，可以配置使用传统的mysql_native_password插件：

apiVersion: v1
kind: ConfigMap
metadata:
  name: mysql-config
  namespace: thankyou
data:
  default_auth: |
    [mysqld]
    default_authentication_plugin=mysql_native_password

然后在Deployment中挂载这个配置：

volumeMounts:
- name: mysql-config-volume
  mountPath: /etc/mysql/conf.d/default_auth.cnf
  subPath: default_auth
volumes:
- name: mysql-config-volume
  configMap:
    name: mysql-config

2. 确保网络配置正确

在Kubernetes中，MySQL服务的访问需要考虑以下几点：

1. Service类型：使用ClusterIP时，需要确保Ingress或NodePort配置正确
2. 网络策略：检查是否有NetworkPolicy限制了外部访问
3. 端口映射：确认Service的端口映射与实际容器端口一致

3. 完整的Kubernetes部署方案

完整的MySQL部署应该包括：

1. PersistentVolumeClaim：确保数据持久化
2. ConfigMap：存放MySQL配置
3. Deployment：定义MySQL容器规格
4. Service：暴露MySQL服务

最佳实践建议

1. 认证方式选择：根据客户端兼容性需求选择合适的认证插件，新项目推荐使用caching_sha2_password，旧项目可能需要mysql_native_password。

2. 密码安全：确保root密码通过Secret而不是ConfigMap存储，提高安全性。

3. 初始化验证：部署后立即验证数据库初始化状态，检查日志中是否有密码设置相关的错误。

4. 网络隔离：生产环境应考虑使用NetworkPolicy限制MySQL服务的访问来源。

5. 资源限制：为MySQL容器配置适当的资源请求和限制，确保数据库性能稳定。

总结

在Kubernetes中部署MySQL容器时，认证方式和网络配置是需要特别注意的两个方面。通过合理配置认证插件和确保网络访问路径正确，可以解决大多数访问被拒绝的问题。本文提供的解决方案不仅解决了当前问题，也为类似场景下的MySQL部署提供了参考架构。