MySQL Docker镜像版本升级导致root访问被拒绝问题分析

问题现象

在使用Docker部署MySQL服务时，用户报告了一个奇怪的现象：当使用mysql:latest镜像(实际为9.3.0版本)时，首次启动服务正常，但重启容器后出现root用户访问被拒绝的错误。而切换回mysql:8.3.0版本后问题消失。

具体表现为：

1. 首次启动容器，Datagrip客户端连接正常
2. 执行docker restart mysql后
   • 外部连接报错：[28000][1045] Access denied for user 'root'@'192.168.137.1'
   • 容器内连接报错：[28000][1045] Access denied for user 'root'@'localhost'
3. 切换至8.3.0版本后问题不再出现

环境配置

用户使用的是以下docker-compose配置：

mysql:
    image: mysql:8.3.0
    container_name: mysql
    ports:
      - "3306:3306"
    environment:
      MYSQL_ROOT_PASSWORD: fUt8uxRCj#^TKoH
      TZ: Asia/Shanghai
    volumes:
      - "./mysql/conf:/etc/mysql/conf.d"
      - "./mysql/data:/var/lib/mysql"
      - "./mysql/init:/docker-entrypoint-initdb.d"

以及自定义的MySQL配置文件：

[client]
default_character_set=utf8mb4
[mysql]
default_character_set=utf8mb4
[mysqld]
server-id = 1
log-bin=mysql-bin
binlog_expire_logs_seconds = 2592000
sql_mode='STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_ENGINE_SUBSTITUTION'
max_connections=1000
symbolic-links=0
default-time_zone = '+8:00'

问题原因分析

根据MySQL官方维护者的回复，这个问题可能与版本升级路径有关：

1. 不支持的升级路径：从MySQL Innovation 8.3直接升级到Innovation 9.3可能不是官方支持的升级路径。MySQL的版本升级有特定的兼容性要求。

2. 数据目录兼容性：如果数据目录(./mysql/data)最初是由8.3.0版本创建的，直接切换到9.3.0版本可能会导致兼容性问题，包括认证方式的改变。

3. 认证插件变更：不同版本的MySQL可能使用不同的默认认证插件，这可能导致重启后认证失败。

解决方案

1. 使用稳定版本：在生产环境中，建议使用长期支持(LTS)版本而非Innovation版本，除非有特定需求。

2. 正确的升级路径：如果需要升级，应遵循官方推荐的升级路径，通常需要逐步升级而非跨越大版本。

3. 重建数据目录：如果必须使用新版本，建议：

   • 备份原有数据
   • 删除旧的数据目录
   • 使用新版本初始化全新的数据目录

4. 检查认证插件：可以尝试在my.cnf中明确指定认证插件：

   [mysqld]
   default_authentication_plugin=mysql_native_password
   

最佳实践建议

1. 版本固定：在docker-compose.yml中固定MySQL版本号，避免使用latest标签，防止意外升级。

2. 备份策略：在进行任何版本变更前，确保有完整的数据备份。

3. 测试环境验证：先在测试环境验证版本升级的兼容性，再应用到生产环境。

4. 监控日志：升级后密切监控MySQL错误日志，及时发现潜在问题。

5. 考虑使用管理工具：对于重要的MySQL实例，考虑使用专业的数据库管理工具来管理升级和迁移过程。

总结

MySQL版本升级需要谨慎处理，特别是在Docker环境中。不同版本间的认证机制和数据存储格式可能存在差异，直接切换可能导致访问问题。建议用户遵循官方升级指南，在升级前充分测试，并做好数据备份工作。对于生产环境，使用长期支持版本并固定版本号是最稳妥的做法。