mysql主从复制依赖从库通过指定账号连接主库拉取二进制日志,因此正确配置复制账号的权限是保证复制正常工作的基础,不合理的权限配置既可能导致复制失败,也会带来不必要的安全隐患。

复制账号需要的核心权限
mysql复制账号最核心的权限是REPLICATION SLAVE,该权限允许账号从主库读取二进制日志内容,是从库同步数据的必要权限。如果还需要通过账号执行SHOW MASTER STATUS等管理操作查看主库复制状态,可额外授予REPLICATION CLIENT权限。如果是需要支持在线变更复制拓扑的场景,可能还需要RELOAD权限,但常规主从复制场景下这两个额外权限不是必须的。
主库上配置复制账号的步骤
1. 创建复制账号
首先登录主库的mysql终端,执行账号创建命令,建议为复制账号设置强密码,同时限制账号的登录来源,避免账号被任意主机访问。以下是创建复制账号的示例代码:
-- 创建复制账号,允许从192.168.1.%网段的主机登录,密码为Repl_123456 CREATE USER 'repl_user'@'192.168.1.%' IDENTIFIED BY 'Repl_123456';
2. 授予复制权限
创建完成后为账号授予复制所需的权限,遵循最小权限原则,仅授予必要的权限即可,不要授予不必要的写权限或所有权限。授予权限的示例代码如下:
-- 授予REPLICATION SLAVE权限,仅满足基础复制需求 GRANT REPLICATION SLAVE ON *.* TO 'repl_user'@'192.168.1.%'; -- 如果需要查看主库复制状态,可额外授予REPLICATION CLIENT权限 GRANT REPLICATION CLIENT ON *.* TO 'repl_user'@'192.168.1.%'; -- 刷新权限使配置生效 FLUSH PRIVILEGES;
3. 验证权限配置
权限授予完成后,可以登录主库查看账号的权限信息,确认权限配置正确。验证的示例代码如下:
-- 查看repl_user账号的权限 SHOW GRANTS FOR 'repl_user'@'192.168.1.%';
执行后如果输出中包含GRANT REPLICATION SLAVE ON *.* TO 'repl_user'@'192.168.1.%'相关内容,说明权限配置成功。
从库验证复制账号可用性
配置完成后可以在从库服务器上测试复制账号是否能正常连接主库,执行以下命令测试连接:
# 使用复制账号连接主库,假设主库地址为192.168.1.10,端口3306 mysql -h 192.168.1.10 -P 3306 -u repl_user -p
如果能正常登录,说明账号的网络权限和密码配置正确,之后可以在从库配置主库连接信息时直接使用该账号即可。
注意事项
- 不要给复制账号授予
ALL PRIVILEGES权限,避免账号权限过高带来安全风险,尤其是如果复制账号密码泄露,攻击者可以操作所有数据库数据。 - 如果主从复制需要跨公网部署,建议为复制账号配置更严格的登录IP限制,同时启用mysql的ssl加密连接,避免复制数据被窃取。
- 如果后续需要更换复制账号密码,先在主库更新账号密码,再在从库执行
STOP SLAVE后重新配置主库连接信息,最后启动复制即可,不需要重启mysql服务。 - 如果是mysql 8.0及以上版本,默认的密码认证插件是
caching_sha2_password,如果从库版本较低不支持该插件,创建账号时可以指定认证插件为mysql_native_password。
以下是不同mysql版本下创建兼容复制账号的示例代码:
-- mysql 8.0+ 兼容低版本从库的账号创建方式 CREATE USER 'repl_user'@'192.168.1.%' IDENTIFIED WITH mysql_native_password BY 'Repl_123456'; GRANT REPLICATION SLAVE ON *.* TO 'repl_user'@'192.168.1.%'; FLUSH PRIVILEGES;