MySQL连接失败主要分四类:服务未启动或bind_address配置错误导致Connection refused;用户权限中'User'@'Host'三元组不匹配或密码过期引发Access denied;网络链路不通或云服务器安全组未放行3306端口造成超时;MySQL 8.0+默认强制SSL导致SSL connection error。
MySQL 连接被拒绝(Connection refused)
最常见的是服务根本没起来,或者监听地址不对。先确认 mysqld 进程是否在运行:
systemctl status mysql(Ubuntu/Debian)或
systemctl status mysqld(CentOS/RHEL)。如果状态是
inactive,直接启动:sudo systemctl start mysql。
接着检查监听配置:bind_address 默认可能是 127.0.0.1 或 localhost,这会导致远程无法连接。查看配置文件(通常是 /etc/mysql/mysql.conf.d/mysqld.cnf 或 /etc/my.cnf)中这一行:
bind_address = 127.0.0.1。如需允许远程连接,改成
0.0.0.0 或具体 IP,并确保防火墙放行 3306 端口。
改完记得重启服务:
sudo systemctl restart mysql,再用
ss -tlnp | grep :3306 确认端口是否真正监听在预期地址上。
Access denied for user 错误
用户名、密码、主机三元组不匹配就会报这个错。MySQL 的权限是按 'user'@'host' 组合判断的,比如 'root'@'localhost' 和 'root'@'%' 是两个完全不同的账号。
登录本地 MySQL 后,查授权记录:
SELECT User, Host FROM mysql.user;。重点看你要连接的用户是否存在于目标
Host 值下。常见误区:
-
localhost不等于127.0.0.1:前者走 Unix socket,后者走 TCP;连接时指定-h 127.0.0.1就不会命中'user'@'localhost' -
%表示任意非本地主机,但不包括localhost;要覆盖所有情况,得单独给'user'@'localhost'授权 - 密码过期或被标记为过期(
Password_expired = 'Y'),需用ALTER USER ... PASSWORD EXPIRE NEVER;重置
Can't connect to MySQL server on 'xxx'(超时)
这类错误往往不是 MySQL 本身问题,而是网络链路卡住。先做基础连通性验证:
- 用
ping xxx看 IP 是否可达(注意:有些服务器禁 ping,不能单凭这个判断) - 用
telnet xxx 3306或nc -zv xxx 3306测试端口是否开放;失败说明中间有防火墙、安全组、NAT 或代理拦截 - 如果是云服务器(如阿里云、AWS),务必检查安全组规则是否放行了入方向的
3306端口,且源 IP 匹配 - 容器环境(Docker)要注意:宿主机用
localhost连不到容器内 MySQL,得用容器 IP 或host.docker.internal(Mac/Windows)或自定义网络别名
SSL 相关连接失败(SSL connection error / Unknown SSL error)
MySQL 8.0+ 默认启用 require_secure_transport=ON,且新用户默认需要 SSL 连接。如果你的应用没配 SSL,会直接被拒。
临时解决(仅开发/测试):
ALTER USER 'your_user'@'%' REQUIRE NONE;,然后
FLUSH PRIVILEGES;。更稳妥的做法是在客户端连接字符串里显式禁用 SSL:
?ssl-mode=DISABLED(MySQL Connector/J)、ssl_disabled=True(PyMySQL)、或命令行加 --ssl-mode=DISABLED。
生产环境建议启用 SSL,但要注意证书路径、CA 配置和验证方式。若用自签名证书,客户端可能报 certificate verify failed,此时需传入正确的 ca 参数或设 ssl_verify_identity=False(不推荐跳过验证)。
权限、网络、配置、SSL 四类问题覆盖了绝大多数连接失败场景。最容易被忽略的是 bind_address 和 Host 字段的语义细节——它们不是“大概能连”,而是精确匹配,差一个点、一个符号、一个空格都会失败。
