故障分析 | 一个因 SSL 配置导致的复制异常报错

最新推荐文章于 2025-03-18 21:20:54 发布
原创 最新推荐文章于 2025-03-18 21:20:54 发布 · 956 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#OceanBase

在构建MySQL复制时,由于用户账户的ssl_type设置为ANY,导致IO线程必须使用SSL连接,而默认配置未启用SSL,从而出现连接失败的问题。通过检查错误日志、用户权限和SSL设置,最终发现并解决了这个问题,强调了在排查数据库连接问题时要关注用户连接属性。

在构建 MySQL 复制过程中,IO 线程始终连接不上主库,反复确认复制账号的权限、账号密码都没问题,最终定位为 SSL 配置的问题。

作者:木板。某全国性股份制银行 DBA。擅长 DB2,MySQL 和 Oracle 数据库的运行维护和调优、排错。

本文来源:原创投稿

  • 爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。

故障背景

在做 MySQL 同构的数据迁移过程中,我们通常只需要按流程搭建主从保持数据同步即可。一般构建复制只要网络没问题,基本都能顺利构建成功。而这次踩了一个小坑,记录一下。

同事反馈做完 change master 后,IO 线程始终显示连接不上主库,已经反复确认该复制账号的权限、账号密码都没问题,且也验证了通过 MySQL 客户端的命令行输入相同的账号密码能正常连接到主库,已经做了以下场景的排除工作:

  • 排除了账号密码错误的问题
  • 排除了账号权限不足的问题
  • 排除了网络不通的问题

故障分析

  • 通过源端主库的错误日志也能持续观测到该复制用户频繁的尝试连接但都失败,错误日志的报错仅告知用了密码但访问受限,比较常规的报错信息。
2021-06-07T16:56:54.812721+08:00 121 [ERROR] [MY-010584] [Repl] Slave I/O for channel '': error connecting to master 'repl@10.186.61.27:3310' - retry-time: 60 retries: 1 message: Access denied for user 'repl'@'10.186.61.27' (using password: YES), Error_code: MY-001045

2021-06-07T16:57:54.817711+08:00 121 [ERROR] [MY-010584] [Repl] Slave I/O for channel '': error connecting to master 'repl@10.186.61.27:3310' - retry-time: 60 retries: 2 message: Access denied for user 'repl'@'10.186.61.27' (using password: YES), Error_code: MY-001045

通过 mysql.user 表观测复制用户的权限细节,观测到该用户有一个特殊的属性设置,ssl_type=ANY 该设置引起了注意。基于官方文档得知,该选项是用来控制用户是否开启 SSL 方式登录。如果为 ANY 则表示用该用户连接时,必须使用 SSL 方式,否则无法登录。

MySQL 客户端在 5.7 以后默认就开启 SSL,所以正常情况下无需明确指定即是 SSL 方式。

 10.186.61.27:3310  SQL > select user,host,ssl_type from mysql.user;
+------------------+-----------+----------+
| user             | host      | ssl_type |
+------------------+-----------+----------+
| repl             | %         | ANY      |
| root             | %         |          |
| zhenxing         | %         |          |
| sysbench         | 10.186.%  |          |
| mysql.infoschema | localhost |          |
| mysql.session    | localhost |          |
| mysql.sys        | localhost |          |
| root             | localhost |          |
+------------------+-----------+----------+


CHANGE MASTER TO
  MASTER_HOST='10.186.61.27',
  MASTER_USER='repl',
  MASTER_PASSWORD='xxxx',
  MASTER_PORT=3310,
  MASTER_AUTO_POSITION=1;

Last_IO_Errno: 1045
Last_IO_Error: error connecting to master 'repl@10.186.61.27:3310' - retry-time: 60 retries: 1 message: Access denied for user 'repl'@'10.186.61.27' (using password: YES)

问题复现

尝试复现验证是否为该属性导致,在用 MySQL 登录数据库时明确的关闭 SSL 尝试 mysql --ssl-mode=disable,结果如预期的一样,报错无法连接,但并没有报错是因为 SSL 的原因。

[root@10-186-61-27 ~]# mysql -h10.186.61.27 -urepl -p -P3310
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 29
Server version: 8.0.22-commercial MySQL Enterprise Server - Commercial
Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
repl@10.186.61.27[(none)]>


-- --ssl-mode=disable
[root@10-186-61-27 ~]# mysql -h10.186.61.27 -urepl -p -P3310 --ssl-mode=disable
ERROR 1045 (28000): Access denied for user 'repl'@'10.186.61.27' (using password: YES)

问题总结

  1. 默认情况下,复制构建是不使用 SSL 的,除非明确的指定 SSL 相关的参数。具体配置方式可参考官方文档

  1. 用户连接异常的情况,不仅涉及权限、密码等问题,对于用户的连接控制属性也需要进行观测,如 mysql.user 表的以下字段 :

    • ssl_type
    • max_questions
    • max_updates
    • max_connections
    • max_user_connections
    • plugin
    • password_expired
    • password_lifetime
    • account_locked

  2. 1045 ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) 常见报错场景:

    • 用户名不正确
    • 数据库用户受到连接主机限制,当前主机不允许连接
    • 密码错误
      • 密码填写错误
      • 当密码出现在 Shell 脚本中,并且包含特殊字符如 $#! 等时
      • 当密码出现在配置文件中,并且包含特殊字符 # 时,需要用双引号将密码括起来
    • 开启了 SSL 连接属性
    • DNS 服务器解析主机名异常
    • 指定的数据库 IP 错误
    • 使用了外部的认证方式,(如 AD、PAM、LDAP 等),但配置不正确

解决办法

  1. 关闭该用户强制需要 SSL 连接的属性

    alter user xxx REQUIRE NONE;

  2. change master 操作时,明确指定 MASTER_SSL 等 SSL 参数配置

CHANGE MASTER TO
  MASTER_HOST='10.186.61.27',
  MASTER_USER='repl',
  MASTER_PASSWORD='xxxx',
  MASTER_PORT=3310,
  MASTER_AUTO_POSITION=1,
  MASTER_SSL=1;

关于 SQLE

爱可生开源社区的 SQLE 是一款面向数据库使用者和管理者,支持多场景审核,支持标准化上线流程,原生支持 MySQL 审核且数据库类型可扩展的 SQL 审核工具。

SQLE 获取

类型地址
版本库https://github.com/actiontech/sqle
文档https://actiontech.github.io/sqle-docs/
发布信息https://github.com/actiontech/sqle/releases
数据审核插件开发文档https://actiontech.github.io/sqle-docs-cn/3.modules/3.7_auditplugin/auditplugin_development.html
rabbitmq常用命令和mq配置文件、rabbitmq日志报错“no exchange ‘reply_处理流程、(404) NOT_FOUND - no queue处理流程、rabbitmq重置流、
崔崇鑫的博客,你linux/云运维工作中的百科全书。
09-08 988
=上面这个其实是rabbitmq常见的报错了。而且下面这个方法是万能的,遇到mq相关的问题,遇事不决直接重建即可。==重建有风险,可能会导致队列消息被抛弃有些请求无法接受,但你都准备重建了,说明是解决不了了,至于哪些请求呗丢弃了,也无所谓了是不是。显示RabbitMQ集群的集群状态。它提供了关于集群中的节点、它们的状态以及任何正在运行的应用程序的信息。启动应用【启动后成为单节点运行,等待加入集群,如果没有接入集群,需要停止后手动加入】我下面是已经处理完故障,正常的界面哈。
Mysql双主搭建[ERROR] Slave I/O for channel ‘‘: error connecting to master
lifht的博客
04-20 4468
Mysql双主搭建[ERROR] Slave I/O for channel ‘‘: error connecting to master
MySQL 8.0 搭建主从复制报错:[ERROR] [MY-010584] [Repl] Slave I/O for channel '': error connecting to master '
wangbin9536的博客
02-02 1万+
操作系统:CentOS Linux release 7.7.1908 (Core) MySQL版本:8.0.11 主库创建用户: create user 'repl'@'%' identified by 'repl'; grant replication slave,replication client on *.* to 'repl'@'%'; flush privileges; 从库执行: ...
mysql主从报错:Last_IO_Error: Error connecting to source解决方法
weixin_61212661的博客
01-15 6737
从库修改my.cnf配置 default-authentication-plugin=mysql_native_password。`password` varchar(255) DEFAULT NULL COMMENT '密码',Slave_IO_Running: Yes --显示yes为正常。Slave_SQL_Running: Yes --显示yes为正常。`role_id` int DEFAULT NULL COMMENT '角色id',按照主库当前的状态进行复制。重新查看状态同步正常。
Slave I/O for channel ‘‘: error connecting to master ‘rep@master1:3306‘ - retry-time: 60 retries: 6
qq_47800859的博客
01-09 3755
MySQL57 集群报错参考解决 Slave I/O for channel '': error connecting to master 'rep@master1:3306' - retry-time: 60 retries: 6
Mysql使用SSL进行安全连接
weixin_42299862的博客
03-28 3097
一、服务器端强制每个接入系统网络的用户使用SSL/TLS安全传输协议----------这时候就不用管客户端配置了 使用GRANT语句使所有用户均使用SSL GRANT USAGE ON . TO <my_user>@ REQUIRE SSL; 检查每个用户返回的ssl_type值为ANY, X509, 或 SPECIFIED。 SELECT user, host, ssl_type ...
MySQL存储引擎故障排查:报错分析与解决方案的完整指南
[MySQL的外部存储引擎支持](https://i0.wp.com/technoexcel.in/blogs/wp-content/uploads/2022/08/Blog-50-MySQL-Storage-Engines.png?resize=1024%2C512&ssl=1) # 1. MySQL存储引擎基础 ## 1.1 存储引擎的选择和...
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-10 6408
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
Zephyr构建系统错误溯源:Kconfig与CMake配置失误引发运行时故障的6例分析
!...# 1. Zephyr构建系统的核心机制与常见故障模式 Zephyr的构建系统基于CMake与Kconfig深度集成,形成配置与编译的双轴驱动架构。其核心流程始于Kconfig的配置收集,生成`.config`文件,再由CMake
Linux常见服务与云原生运维常见服务报错与解决方案
PS : 文章如果是VIP可见可以私信我打开,因为文章会自动升级为VIP文章...... 作者声明: 所有的技术分享均为免费开放!
03-18 1708
日均处理日志量可达TB级。如果使用的是私有仓库,确保 Kubernetes 配置了正确的凭证(通过 Kubernetes Secret 或 Docker Config)。在 GitLab CI/CD 流水线中,推送镜像到 Docker registry 时,可能会遇到认证失败或推送超时的问题。优化 Dockerfile,避免频繁无变化的步骤,比如将频繁变化的命令移至 Dockerfile 的后面。确保 Dockerfile 中的路径、文件名和基础镜像都正确,并且必要的环境变量已正确配置
MGR集群切换报错:[ERROR] Slave I/O for channel ‘group_replication_recovery‘: error connecting to master
欢迎你们到来,希望能帮到大家
05-28 589
说明:1、MGR集群故障,master切换成功后,原来的主节点变成slave加入到MGR集群报RECOVERING错误。2、经过查看mysql日志报错信息,提示连接新master报错。3、查看数据库的用户,发现少创建复制用户账号。
【MySQL】RECOVERING/[ERROR] Slave I/O for channel ‘group_replication_recovery‘: error connecting to ma
weixin_43346403的博客
08-02 439
MGR 复制中,使用 HOSTNAME 进行连接,所以需要配置/etc/hosts 文件。1.MGR 启动报错
Win10系统实现Mysql主从复制
qq_38935605的博客
12-30 536
目录,这里有一个需要特别注意的地方,就是数据库配置文件存放目录,以本机为例,电脑安装完成以后修改Mysql配置文件不生效。这个时候我们需要查看configurator_settings.xml 文件,这个地方才是Mysql实际应用的配置文件,还是以本机为例。在主数据库执行下面SQL,创建了一个用户root001,并且给了用户convert_dev 数据库的增删改查权限。实现主从复制首先第一步我们需要修改我们主数据库配置文件,修改完成以后需要我们重启我们的Mysql服务,可以在。完成以后编辑下面的SQL,
MySQL学习日记(六)用户管理、权限安全
LH is programming hard
07-30 663
文章目录用户管理和权限安全1、user权限表1.1 用户列1.2 权限列1.3 安全列1.4 资源控制列2、其他权限表(db、tables_priv、columns_priv、procs_priv)2.1 db表2.2 tables_priv表和columns_priv表2.3 procs_priv表3、创建用户的3种方式3.1 使用create user创建3.2 在mysql.user表中添加用户3.3 使用grant语句创建用户 用户管理和权限安全 MySQL 是一个多用户数据库,具有功能强大的访问控
警告:Establishing SSL connection without server's identity verification is not recommended
qq_40748996的博客
10-11 470
解决方法 那问题来了,SSL是什么? SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议提供的功能主要有: 1、 数据传输的机密性:利用对称密钥算法对传输的数据进行加密。 2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户...
mysql通过ssl连接_通过SSL连接到MySQL
weixin_42396502的博客
01-26 389
HTTPS是一种协议,它依赖于从TCP连接开始建立的SSL/TLS连接(“隐式”SSL/TLS)。所有的HTTP流量都是通过SSL/TLS交换的,而且是在一个不同的端口上进行的,所以Wireshark知道它应该首先将其解码为SSL/TLS。在MySQL协议不是(它是“显式”SSL/TLS):通信以纯文本开始,然后升级到SSL/TLS。(关于这两种模式的更多详细信息here和{a2}。)在某些情况下...
运维学习:常用运维工具
Howei__的博客
10-30 5585
远程连接工具 Xhell **连接方式** 常用快捷键 文件传输 WinSCP 功能 Secret CRT PuTTY FTP客户端工具 FileZilla FlashFXP 端口检测工具 tcping Linux下使用tcping Windows 下使用tcping 参数说明 远程协助工具 TeamViewer 向日葵 子网掩码演算器 VNC client RealVNC VNC Server VNC Viewer
mysql 5.7使用ssl连接
热门推荐
谭哥杂谈
11-29 1万+
mysql 5.7使用ssl连接mysql 57使用ssl连接 环境 操作 使用脚本工具生成密钥文件 添加ssl参数到mycnf配置文件 启动mysql server 验证服务器是还开启ssl 客户端连接 创建必须使用ssl登录的用户 系统用户表user与ssl 其他 说明 环境CentOS6.6 X86_64操作使用脚本工具生成密钥文件bin/mysql_ssl_rsa_setup执行完成后,da
mysql+禁用ssl连接_配置MySQL用于SSL,但SSL仍然是禁用的..!
weixin_30909915的博客
01-19 2490
我使用以下脚本为MySQL配置SSL.#!/bin/bash#mkdir -p /root/abc/ssl_certscd /root/abc/ssl_certs#echo "--> 1. Create CA cert, private key"openssl genrsa 2048 > ca-key.pemecho "--> 2. Create CA cert, certif...
ad报错short circut
最新发布
04-01
<think>嗯,用户遇到了Active Directory中的“short circuit”报错问题,需要解决方案。首先,我得回忆一下这个错误通常出现在什么情况下。Active Directory的“short circuit”错误可能与复制问题有关,尤其是在域控制器之间的复制过程中出现通信故障或配置错误。也可能和安全设置相关,比如Kerberos协议或LDAP绑定的问题。 接下来,我需要考虑常见的解决步骤。首先,检查事件查看器中的具体错误日志,确定错误的来源和代码。然后,验证网络连接是否正常,确保域控制器之间的端口开放,比如LDAP所需的389和636端口,以及Kerberos的88端口。此外,DNS配置是否正确也很重要,因为AD严重依赖DNS解析。 另外,用户权限问题也可能导致此类错误。比如,如果某个服务账户的权限被更改,可能导致复制失败。需要检查域控制器的计算机账户和服务账户的权限是否正确。同时,AD站点和服务的配置是否正确,尤其是复制拓扑是否合理,是否存在站点间链接的配置错误。 还可能涉及到安全策略,比如是否启用了过于严格的加密类型,导致域控制器之间无法协商合适的加密方式。这种情况下可能需要调整组策略中的相关设置。此外,系统时间同步也是一个关键因素,Kerberos认证对时间敏感,时间不同步会导致各种问题。 用户提到的引用内容中有关于Python脚本和Lumerical的引用,可能用户在处理AD问题时也涉及到脚本或第三方应用的集成,比如使用Python通过LDAP操作AD时出现的错误。这时候需要检查脚本中的认证方式,是否使用了正确的凭据和加密方法,比如是否启用了SSL/TLS,或者是否存在证书问题。 最后,可能需要使用AD诊断工具,如repadmin检查复制状态,dcdiag进行域控制器健康检查,或者使用网络抓包工具分析通信问题。如果问题依然无法解决,可能需要提升日志级别,收集更详细的信息进行分析,或者联系微软支持。</think>### Active Directory "Short Circuit"报错解决方案 Active Directory中的"short circuit"错误通常与域控制器间的通信异常或安全策略冲突有关,以下是分步骤解决方案: 1. **检查基础网络连接** - 验证域控制器之间的TCP 1433(SQL)、389(LDAP)、636(LDAPS)、88(Kerberos)端口连通性 - 使用`Test-NetConnection`命令测试端口通信: ```powershell Test-NetConnection DC02 -Port 389 ``` - 确保所有域控制器的时间偏差不超过5分钟(Kerberos协议要求) 2. **诊断复制状态** - 运行AD复制状态检查工具: ```powershell repadmin /showrepl * repadmin /replsummary ``` - 检查错误代码中标识的源域控制器和目标域控制器 3. **验证DNS配置** - 确保所有域控制器都注册正确的SRV记录 ```dos nslookup -type=srv _ldap._tcp.dc._msdcs.<域名> ``` - 确认DNS后缀设置与AD域名一致 4. **检查安全策略设置** - 确认域控制器之间使用兼容的加密类型(AES256/AES128) - 检查组策略中的`网络安全: 配置加密类型允许`设置: ``` gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 -> 安全选项 ``` 5. **服务账户权限验证** - 检查AD复制使用的`NTDS`服务账户权限 - 重置域控制器计算机账户密码: ```powershell Reset-ComputerMachinePassword -Server <PDC仿真主机> ``` 6. **处理Kerberos票据** - 清理并重建Kerberos安全关联: ```dos klist purge -li 0x3e7 ``` - 强制Kerberos重新认证: ```dos net stop kdc net start kdc ``` 7. **高级诊断方法** - 启用详细日志记录: ```reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics] "15 Field Engineering"=dword:00000005 ``` - 使用网络协议分析工具抓包分析LDAP/Kerberos通信 若问题涉及第三方应用集成(如Python脚本访问AD),需确认: ```python # Python示例应使用安全连接 import ldap l = ldap.initialize('ldaps://adserver:636') l.set_option(ldap.OPT_REFERRALS, 0) l.simple_bind_s('user@domain.com','password') ``` 需启用SSL证书验证并确保TLS版本兼容[^2]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值