MySQL连接超时主因是bind-address配置、防火墙拦截或用户host权限限制;需依次检查监听地址是否为0.0.0.0、防火墙/安全组是否放行3306端口、用户host是否为'%'或指定IP,并用telnet或nc验证端口可达性。
MySQL 连接超时的常见触发点
连接超时(ERROR 2003 (HY000): Can't connect to MySQL server on 'xxx' (110) 或客户端报 Connection timed out)不等于服务没启动,更大概率是网络链路或服务配置拦住了请求。先确认 mysqld 进程在跑、端口监听正常,再逐层排查防火墙、绑定地址、用户权限三类硬性门槛。
检查 MySQL 是否真正监听外部连接
MySQL 默认可能只监听 127.0.0.1,导致远程或 Docker 容器外无法连。用 netstat 或 ss 查实际监听状态:
ss -tlnp | grep :3306
若输出中显示的是 127.0.0.1:3306 而非 *:3306 或 0.0.0.0:3306,说明服务未开放给外部。需修改配置文件:
-
bind-address必须设为0.0.0.0(全网卡)或具体内网 IP,不能是127.0.0.1 -
skip-networking必须被注释或删除(否则直接禁用 TCP 连接) - 改完重启:
sudo systemctl restart mysql(或mysqld)
防火墙与网络策略是否放行 3306
Linux 主机上 ufw、firewalld 或云服务器安全组常被忽略。即使 MySQL 监听 0.0.0.0:3306,流量也可能在系统/云平台层被丢弃:
- 本地防火墙:运行
sudo ufw status verbose,确认3306在ALLOW列表;若没有,执行sudo ufw allow 3306 - 云环境(如阿里云、AWS):必须进控制台检查「安全组规则」,入方向添加
TCP:3306,源 IP 设为0.0.0.0/0(测试用)或具体客户端 IP - Docker 场景:确认
docker run启动时用了-p 3306:3306,且宿主机防火墙未拦截该端口映射
用户 host 权限是否允许远程登录
MySQL 用户的 host 字段决定其可从哪连接。新建用户时若写成 'user'@'localhost',就只能本机 socket 连,远程会直接拒绝(不是超时,是 Access denied)。但若遇到超时后突然报这个错,说明已通网络层,卡在认证前——此时重点查用户权限:
SELECT user, host FROM mysql.user;
确保目标用户对应的是 'user'@'%' 或具体客户端 IP(如 'user'@'192.168.1.100')。若不是:
- 创建新用户:
CREATE USER 'myuser'@'%' IDENTIFIED BY 'mypass'; - 授权:
GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%'; - 刷新权限:
FLUSH PRIVILEGES;
注意:% 不匹配 localhost(Unix socket 仍走 localhost),如需本机命令行也用 TCP 连,显式用 mysql -h 127.0.0.1 -u myuser -p
超时问题最易误判为“服务挂了”,实际八成卡在 bind-address、防火墙、host 权限这三处。每次改动后务必用 telnet your_ip 3306 或 nc -zv your_ip 3306 验证端口可达性,比反复试连 MySQL 客户端更直接。
