根本原因是MySQL容器默认bind-address=127.0.0.1,导致即使-p映射也无法被访问;需配置bind-address=0.0.0.0、授权root@'%'并挂载自定义my.cnf。
docker run 时 -p 参数映射失败,宿主机无法访问 MySQL
根本原因通常是端口冲突或防火墙拦截,但更隐蔽的是 Docker 默认桥接网络下 bind-address 配置未放开。MySQL 容器默认只监听 127.0.0.1,即使你用 -p 3306:3306 映射,容器内 mysqld 本身拒绝外部连接。
- 启动前确保宿主机 3306 未被占用:
lsof -i :3306或netstat -tuln | grep :3306 - 必须通过配置文件或启动参数让 mysqld 监听所有接口:
--bind-address=0.0.0.0(推荐在my.cnf中设) - 若使用
docker run临时覆盖,加参数:--default-authentication-plugin=mysql_native_password(避免 8.0+ 默认 caching_sha2_password 导致客户端连不上)
自定义 my.cnf 并挂载进容器
硬编码配置比命令行参数更可靠,尤其涉及字符集、日志、远程访问等持久化设置。
- 在宿主机新建
/path/to/my.cnf,内容至少包含:
[mysqld] bind-address = 0.0.0.0 character-set-server = utf8mb4 collation-server = utf8mb4_unicode_ci skip-host-cache skip-name-resolve
- 启动时用
-v挂载并指定配置路径:docker run -v /path/to/my.cnf:/etc/mysql/conf.d/custom.cnf -p 3306:3306 mysql:8.0 - 注意:Docker 中 MySQL 官方镜像会自动加载
/etc/mysql/conf.d/*.cnf,后缀必须是.cnf,且不能覆盖mysqld.cnf中的关键项(如pid-file)
使用 docker network 创建独立桥接网络
默认的 bridge 网络不支持容器间通过服务名通信;多个 MySQL 容器共存时,必须隔离网络避免端口冲突和 DNS 解析混乱。
- 创建自定义网络:
docker network create mysql-net - 运行容器并加入该网络:
docker run --network mysql-net --name mysql-primary -e MYSQL_ROOT_PASSWORD=123 -d mysql:8.0 - 此时其他容器(如应用服务)可用
mysql-primary:3306连接,无需暴露到宿主机端口 - 如果需从宿主机访问,仍要加
-p 3306:3306;若仅内部通信,可省略-p提升安全性
连接失败时检查 container 内部监听状态
别急着重跑容器,先进容器看 mysqld 实际监听情况——这是最常被跳过的诊断步骤。
- 进入容器:
docker exec -it mysql-primary bash - 检查进程绑定:
ss -tuln | grep :3306(应显示*:3306或0.0.0.0:3306,而非127.0.0.1:3306) - 确认用户权限:
mysql -uroot -p -e "SELECT host, user FROM mysql.user;",root 用户的host应为%或具体 IP,不是localhost - 若仍是
localhost,需手动授权:CREATE USER 'root'@'%' IDENTIFIED BY '123'; GRANT ALL ON *.* TO 'root'@'%'; FLUSH PRIVILEGES;
实际部署中,bind-address 和 user@host 权限这两处配置错一个,就卡住一整天。别依赖“镜像默认能用”,MySQL 容器的网络行为和裸机差异很大。
