MySQL Exporter连接MySQL SSL加密服务问题排查指南

背景介绍

在使用Prometheus生态的MySQL Exporter监控MySQL数据库时，当MySQL服务器启用了强制SSL加密连接(require_secure_transport=true)，配置过程中可能会遇到连接失败的问题。本文将以一个典型的生产环境案例为基础，深入分析问题原因并提供解决方案。

环境配置

• 操作系统：CentOS Stream 9 (Linux 5.14内核)
• MySQL版本：8.0.31社区版，配置了SSL证书强制加密连接
• Exporter版本：0.16.0官方Docker镜像
• 关键配置：
  • MySQL服务端配置了CA证书、服务端证书和私钥
  • 启用了require_secure_transport强制SSL连接
  • 使用mysql客户端验证SSL连接正常

问题现象

通过MySQL Exporter监控时出现连接错误：

Error 1045 (28000): Access denied for user 'exporter'@'172.17.0.1'

尽管：

1. 已正确配置了Exporter的SSL证书路径
2. 使用mysql客户端可以正常SSL连接
3. 确认用户名密码正确

深度分析

密码特殊字符问题

经过排查发现，根本原因是MySQL用户密码中包含特殊字符#。在传统的my.cnf配置文件中，#会被识别为注释符号，导致密码被截断。

Exporter的认证机制

MySQL Exporter支持两种认证方式：

1. 通过--config.my-cnf指定配置文件
2. 通过环境变量MYSQLD_EXPORTER_PASSWORD传递密码

当密码包含特殊字符时，第二种方式更为可靠。

解决方案

推荐方案：使用环境变量

1. 停止使用my.cnf中的密码配置
2. 通过Docker环境变量传递密码：

docker run -d \
  -e MYSQLD_EXPORTER_PASSWORD='your#password' \
  # 其他参数...

配置验证要点

1. SSL证书权限：确保容器内可以访问证书文件，且权限正确(通常600)
2. 连接测试：先用mysql客户端验证SSL连接
3. 日志级别：启动时添加--log.level=debug获取详细日志

最佳实践建议

1. 密码管理：避免在配置文件中直接写入含特殊字符的密码
2. 连接测试：分步骤验证：
   • 先测试基础TCP连接
   • 再测试SSL加密连接
   • 最后测试Exporter集成
3. 权限最小化：为Exporter创建专用监控用户，只授予必要权限

总结