MySQL 生产环境不是装上就能用,核心是稳定、安全、可维护和可扩展。重点不在“怎么装”,而在“怎么配得稳、管得住、扛得久”。
基础安装与用户权限隔离
用官方 YUM 或 APT 源安装(如 MySQL 官方 repo 或 Percona Server),避免系统自带旧版本。安装后立即执行
mysql_secure_installation,禁用匿名用户、移除 test 库、禁用远程 root 登录。
创建专用运行用户(如
mysqld),不使用 root 启动服务;数据库层面只授予应用所需最小权限,例如:
CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY 'strong_pass_2024';
GRANT SELECT, INSERT, UPDATE ON mydb.* TO 'app_user'@'192.168.1.%';
FLUSH PRIVILEGES;
关键配置项必须调优(my.cnf)
以下参数直接影响稳定性与性能,不能照搬默认值:
innodb_buffer_pool_size:设为物理内存的 50%–75%(专用 DB 服务器),至少 > 2GB;过小会导致频繁磁盘读,过大可能 OOM max_connections:根据应用连接池大小 + 预留余量设置(如 500–2000),避免 Too many connections 错误 innodb_log_file_size:单个 redo log 文件建议 1–4GB(总大小 ≤ 8GB),过大影响崩溃恢复时间,过小导致频繁 checkpoint sync_binlog = 1 和 innodb_flush_log_at_trx_commit = 1:保障主从一致性与崩溃安全性(写性能略降,生产必须开) lower_case_table_names = 1:Linux 下统一表名大小写,避免跨平台迁移问题备份、监控与故障响应准备
没备份 = 生产裸奔。每天全量 + 每小时 binlog 增量是底线:
用mysqldump --single-transaction --routines --triggers或更优的
mydumper做逻辑备份 物理备份推荐
Percona XtraBackup(支持热备、压缩、流式传输) 用
pt-heartbeat监控主从延迟,用
mysqld_exporter + Prometheus + Grafana可视化 QPS、连接数、慢查询、InnoDB 状态等 配置
slow_query_log = ON、
long_query_time = 1,定期分析
pt-query-digest
安全加固与日常运维习惯
生产库不是测试环境,细节决定是否被攻破或误操作:
关闭local_infile = OFF,防止通过 LOAD DATA LOCAL INFILE 读取服务器任意文件 绑定
bind-address = 127.0.0.1或内网 IP,禁止公网暴露 3306 端口;如需远程,走跳板机或 SSH 隧道 启用
skip_name_resolve = ON,避免 DNS 解析失败导致连接卡顿 所有 DDL 变更走变更流程:先在预发验证、加注释、备份表、选低峰期、留回滚语句 定期轮换数据库密码(尤其应用账号),禁用空密码、弱密码,可用
validate_password插件强制策略
不复杂但容易忽略。上线前跑一遍 checklist,每季度复核一次配置与备份有效性,比出事后再救火强十倍。
