17370845950

MySQL生产环境核心是稳定、安全、可维护和可扩展，需通过官方源安装、权限隔离、关键参数调优（如innodb_buffer_pool_size、max_connections）、全量+增量备份、监控告警及安全加固等措施保障。

MySQL 生产环境不是装上就能用，核心是稳定、安全、可维护和可扩展。重点不在“怎么装”，而在“怎么配得稳、管得住、扛得久”。

基础安装与用户权限隔离

用官方 YUM 或 APT 源安装（如 MySQL 官方 repo 或 Percona Server），避免系统自带旧版本。安装后立即执行 mysql_secure_installation，禁用匿名用户、移除 test 库、禁用远程 root 登录。

创建专用运行用户（如 mysqld），不使用 root 启动服务；数据库层面只授予应用所需最小权限，例如：

• CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY 'strong_pass_2025';
• GRANT SELECT, INSERT, UPDATE ON mydb.* TO 'app_user'@'192.168.1.%';
• FLUSH PRIVILEGES;

关键配置项必须调优（my.cnf）

以下参数直接影响稳定性与性能，不能照搬默认值：

• innodb_buffer_pool_size：设为物理内存的 50%–75%（专用 DB 服务器），至少 > 2GB；过小会导致频繁磁盘读，过大可能 OOM
• max_connections：根据应用连接池大小 + 预留余量设置（如 500–2000），避免 Too many connections 错误
• innodb_log_file_size：单个 redo log 文件建议 1–4GB（总大小 ≤ 8GB），过大影响崩溃恢复时间，过小导致频繁 checkpoint
• sync_binlog = 1 和 innodb_flush_log_at_trx_commit = 1：保障主从一致性与崩溃安全性（写性能略降，生产必须开）
• lower_case_table_names = 1：Linux 下统一表名大小写，避免跨平台迁移问题

备份、监控与故障响应准备

没备份 = 生产裸奔。每天全量 + 每小时 binlog 增量是底线：

• 用 mysqldump --single-transaction --routines --triggers 或更优的 mydumper 做逻辑备份
• 物理备份推荐 Percona XtraBackup（支持热备、压缩、流式传输）
• 用 pt-heartbeat 监控主从延迟，用 mysqld_exporter + Prometheus + Grafana 可视化 QPS、连接数、慢查询、InnoDB 状态等
• 配置 slow_query_log = ON、long_query_time = 1，定期分析 pt-query-digest

安全加固与日常运维习惯

生产库不是测试环境，细节决定是否被攻破或误操作：

• 关闭 local_infile = OFF，防止通过 LOAD DATA LOCAL INFILE 读取服务器任意文件
• 绑定 bind-address = 127.0.0.1 或内网 IP，禁止公网暴露 3306 端口；如需远程，走跳板机或 SSH 隧道
• 启用 skip_name_resolve = ON，避免 DNS 解析失败导致连接卡顿
• 所有 DDL 变更走变更流程：先在预发验证、加注释、备份表、选低峰期、留回滚语句
• 定期轮换数据库密码（尤其应用账号），禁用空密码、弱密码，可用 validate_password 插件强制策略

不复杂但容易忽略。上线前跑一遍 checklist，每季度复核一次配置与备份有效性，比出事后再救火强十倍。