前言周末在家休息突然收到告警线上服务异常需要进数据库排查。结果发现自己在家数据库在公司的私有网络里3306 端口不对外开放也没有 VPN 能连上。这种数据就在那里但你就是够不着的情况但凡碰上过一次就知道远程访问内网数据库这件事有多重要。这次搭了一套生产级的 MariaDB 环境跑在 Debian 12 上同时配了两个关键能力一个是 mysqld_exporter 加 Prometheus 的监控链路数据库的连接数、查询性能、慢查询这些指标都能看到另一个是 cpolar 把本地 3306 端口透传到公网在任何地方只要有授权拿一条命令就能连进去。整个链路走下来开源工具全部搞定成本为零。MariaDB 装好之后建一个专用监控用户配 mysqld_exporter 的配置文件Prometheus 那边加一行 target 就能抓到数据。cpolar 建一条 TCP 隧道指向 3306固定地址绑定好之后端口不随机变化连命令都不用改。连接的时候就是一条命令mysql -h 8.tcp.cpolar.top -P 11849 -u remote_user -p跟本地连接体验一样。适合有远程数据库访问需求的开发者、运维 DBA或者需要异地技术支持时临时连入内网的场景。安全性和便利性都有考虑到隧道是加密的数据库用的是专用监控用户权限最小化。1.配置前提条件在正式开始安装和配置MariaDB之前请确保您已做好以下准备工作以保障后续操作顺利进行一台运行Debian 12的操作系统环境该服务器应已成功安装并正常启动且能够稳定接入互联网以便下载官方软件包及依赖项。具备管理员权限的用户账户您需要拥有一个具有sudo权限的非root用户账户。可交互的命令行终端无论是通过SSH远程连接还是在物理机/虚拟机上本地登录您都需要打开一个终端窗口用于执行后续的命令行操作。一款熟悉的文本编辑器在配置MariaDB的过程中您可能需要编辑配置文件如 /etc/mysql/mariadb.conf.d/50-server.cnf。请确保系统中已安装并熟悉至少一种命令行文本编辑器例如轻量级的nano、功能强大的vim或其他您习惯使用的编辑工具。小贴士建议在操作前更新系统软件包列表sudo apt update以确保安装的是最新稳定版本的MariaDB并减少潜在的兼容性问题。完成以上准备后您就已为MariaDB的安装、安全加固与初始化配置打下了坚实基础。2.安装MariaDB2.1系统升级始终建议在安装之前安装最新的系统软件包以避免依赖性问题。运行以下命令sudoaptupdatesudoaptupgrade-y2.2 安装所需的软件包接下来安装必要的软件包如下所示sudoaptinstallcurlsoftware-properties-common dirmngr-y2.3 添加MariaDB APT存储库分别运行以下命令导入MariaDB签名密钥并添加MariaDB APT存储库:curl-LsS-Ohttps://downloads.mariadb.com/MariaDB/mariadb_repo_setupsudobashmariadb_repo_setup --mariadb-server-version10.62.4 在Debian上安装MariaDB接下来更新软件包并安装MariaDB服务器sudoaptupdatesudoaptinstallmariadb-server mariadb-client2.5 启动并启用MariaDB现在运行以下命令来启动 MariaDB 并使其在系统重新启动时自动启动sudosystemctl start mariadbsudosystemctlenablemariadbsudosystemctl status mariadb2.6 安全的MariaDB安装成功安装MariaDB后请按如下所示继续保护它2.7 检查MariaDB版本要检查MariaDB版本我们需要登录MariaDB如下所示。如果您设置了root密码请使用-p。mysql-uroot-p然后运行以下MySQL命令来检查MariaDB版本:SELECT VERSION();2.8 MariaDB基本命令MariaDB创建数据库CREATE DATABASE shan;MariaDB添加用户并授予权限CREATEUSERmyuserlocalhostIDENTIFIED BYmypassword;GRANT ALL PRIVILEGES ON *.* TOmyuserlocalhostIDENTIFIED BYmypassword;GRANT ALL PRIVILEGES ON *.* TOmyuserlocalhost;FLUSH privileges;SHOW GRANTS FORmyuserlocahost;创建表并添加数据MariaDB创建数据库后您可以创建表并向其中添加数据。CREATE TABLE shan(id INT, name VARCHAR(20), email VARCHAR(20));INSERT INTO shan(id,name,email)VALUES(01,lorna,[email]);MariaDB清理要完全删除MariaDB请运行以下命令。sudoaptpurge mariadb-serversudorm-rf/var/lib/mysql/3.使用mysql_exporter监控MariaDB3.1 为什么用mysqld_exporter监控MariaDB因为它是“用一套工具监控两个世界”的典范。兼容性好MariaDB ≈ MySQL协议功能全面覆盖性能、连接、复制、资源等核心维度生态成熟Prometheus Grafana开箱即用官方认可MariaDB社区明确推荐因此无需寻找“MariaDB Exporter”——直接使用mysqld_exporter就是最优解。3.2 安装mysql_exporter在prometheus的官网下载对应的mysql_exporter的linux版本下载完成后上传到/app目录下也可以使用这个命令一键安装可自定义版本wgethttps://github.com/prometheus/mysqld_exporter/releases/download/v0.18.0/mysqld_exporter-0.18.0.linux-amd64.tar.gz解压mysql_exporter压缩文件tar-zxvfmysqld_exporter-0.18.0.linux-amd64.tar.gz修改mysql_exporter文件名mvmysqld_exporter-0.18.0.linux-amd64/ mysqld_exporter3.3 启动mysql_exporter创建mysql用户与权限在MySQL数据库中创建一个专门用于监控的用户并赋予其足够的权限来查询所需的信息GRANT REPLICATION CLIENT, PROCESS ON *.* TOmysqld_exporterlocalhostidentified by12345678;GRANT SELECT ON performance_schema.* TOmysqld_exporterlocalhost;flush privileges;创建一个文件输入我们刚创建好的用户名及密码vilocalhost_db.cnf[client]userexporterpassword12345678创建mysql_exporter服务vi/etc/systemd/system/mysqld_exporter.service[Unit]DescriptionexporterAfternetwork.target[Service]TypesimpleUserprometheusExecStart/app/mysqld_exporter/mysqld_exporter --config.my-cnf/app/mysqld_exporter/localhost_db.cnf --web.listen-address:9105Restarton-failure[Install]WantedBymulti-user.target添加prometheus用户并修改对应权限sudouseradd--system--no-create-home--shell/sbin/nologin prometheussudochown-Rprometheus:prometheus /app/mysqld_exporter/sudochmod600/app/mysqld_exporter/localhost_db.cnf启动服务并设置开机自启动sudosystemctl daemon-reloadsudosystemctl start mysqld_exportersudosystemctl status mysqld_exporter# 查看是否成功sudosystemctlenablemysqld_exporter# 设置开机自启可选4.配置prometheus监控mysql_exporter没有prometheus的小伙伴可以参考cpolar官网这篇文章《监控不再局域网Cpolar 让 Prometheus 走出内网限制》找到prometheus的配置文件编辑添加如下内容viprometheus.yml- targets:[ip:9105]labels: app:mysqld_exporter重启prometheus服务:systemctl restart prometheus使用浏览器Ip9090打开promethues的页面我们可以看到成功的检测到了mysql_exporter服务啦现在我们已经成功完成了MariaDB的安装并通过mysqld_exporter与Prometheus构建了一套完整的数据库监控体系能够实时掌握连接数、查询性能、主从状态等关键指标。然而在实际工作中我们常常面临一个现实需求如何从外部网络比如家里、出差途中安全地连接到公司内网的MariaDB数据库由于公司服务器通常部署在私有网络中没有公网IP且出于安全考虑防火墙不会直接开放3306端口给互联网——这就导致传统的远程连接方式行不通。这时候就轮到Cpolar闪亮登场了借助Cpolar的内网穿透能力我们可以在不改动现有网络架构、无需申请公网IP、不必开放防火墙端口的前提下建立一条加密、可靠、带身份认证的隧道将公司内网的MariaDB服务安全地映射到一个公网可访问的地址。这样一来无论你身处何地只要拥有授权就能像访问本地服务一样安全连接到公司的数据库——真正实现“内网数据库远程随心连”。接下来我们就来演示如何用Cpolar安全打通这条连接通道。5.安装cpolar实现随时随地开发5.1 什么是cpolarcpolar是一款安全高效的内网穿透工具无需公网IP或复杂配置只需一条命令即可将本地服务器、Web服务或任意端口映射到公网让你随时随地远程访问内网应用特别适合开发调试、远程运维和应急部署等场景。5.2 部署cpolarcpolar 可以将你本地电脑中的服务如 SSH、Web、数据库映射到公网。即使你在家里或外出时也可以通过公网地址连接回本地运行的开发环境。❤️以下是安装cpolar步骤使用一键脚本安装命令sudocurlhttps://get.cpolar.sh|sh安装完成后执行下方命令查看cpolar服务状态如图所示即为正常启动sudosystemctl status cpolarCpolar安装和成功启动服务后在浏览器上输入虚拟机主机IP加9200端口即:【http://ip:9200】访问Cpolar管理界面使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可打开浏览器访问本地9200端口使用cpolar账户密码登录即可,登录后即可对隧道进行管理。6.配置公网地址通过配置你可以在本地WSL或Linux系统上运行SSH服务并通过Cpolar将其映射到公网从而实现从任意设备远程连接开发环境的目的。隧道名称可自定义本例使用了:MariaDB注意不要与已有的隧道名称重复协议tcp本地地址3306端口类型随机临时TCP端口地区China Top创建成功后打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址接下来就可以在其他电脑或者移动端设备异地上使用任意一个地址在终端中访问即可。tcp 表示使用的协议类型2.tcp.cpolar.top是Cpolar提供的域名15969是随机分配的公网端口号通过Cpolar提供的公网地址和端口MariaDB就可以从任意一台主机连接到啦mysql-h2.tcp.cpolar.top-P15969-uremote_user-p7.保留固定TCP公网地址使用cpolar为其配置TCP地址该地址为固定地址不会随机变化。选择区域和描述有一个下拉菜单当前选择的是“China Top”。右侧输入框用于填写描述信息。保留按钮在右侧有一个橙色的“保留”按钮点击该按钮可以保留所选的TCP地址。列表中显示了一条已保留的TCP地址记录。地区显示为“China Top”。地址显示为“8.tcp.cpolar.top:11849”。登录cpolar web UI管理界面点击左侧仪表盘的隧道管理——隧道列表找到所要配置的隧道mysql点击右侧的编辑。修改隧道信息将保留成功的TCP端口配置到隧道中。端口类型选择固定TCP端口预留的TCP地址填写保留成功的TCP地址点击更新。创建完成后打开在线隧道列表此时可以看到随机的公网地址已经发生变化地址名称也变成了保留和固定的TCP地址。最后测试一下固定的地址是否好用测试命令mysql-h8.tcp.cpolar.top-P11849-uremote_user-p这样我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。总结搭完这套环境之后远程查数据库这件事才算真正落地了。之前需要查数据但连不进去的尴尬解决了现在有告警随时可以处理不用等人回公司。但这个改动很小链路是加密的用户权限是分离的数据库本身没有暴露任何端口到公网cpolar 充当的是可信的桥接层而不是开放的大门。后续如果要接 Grafana 做可视化看板Prometheus 那边已经有了基础数据直接配 Grafana 数据源就行整套监控体系的扩展性是现成的。
数据库在公司内网,出差路上想查数据怎么办?
发布时间:2026/5/28 22:52:09
前言周末在家休息突然收到告警线上服务异常需要进数据库排查。结果发现自己在家数据库在公司的私有网络里3306 端口不对外开放也没有 VPN 能连上。这种数据就在那里但你就是够不着的情况但凡碰上过一次就知道远程访问内网数据库这件事有多重要。这次搭了一套生产级的 MariaDB 环境跑在 Debian 12 上同时配了两个关键能力一个是 mysqld_exporter 加 Prometheus 的监控链路数据库的连接数、查询性能、慢查询这些指标都能看到另一个是 cpolar 把本地 3306 端口透传到公网在任何地方只要有授权拿一条命令就能连进去。整个链路走下来开源工具全部搞定成本为零。MariaDB 装好之后建一个专用监控用户配 mysqld_exporter 的配置文件Prometheus 那边加一行 target 就能抓到数据。cpolar 建一条 TCP 隧道指向 3306固定地址绑定好之后端口不随机变化连命令都不用改。连接的时候就是一条命令mysql -h 8.tcp.cpolar.top -P 11849 -u remote_user -p跟本地连接体验一样。适合有远程数据库访问需求的开发者、运维 DBA或者需要异地技术支持时临时连入内网的场景。安全性和便利性都有考虑到隧道是加密的数据库用的是专用监控用户权限最小化。1.配置前提条件在正式开始安装和配置MariaDB之前请确保您已做好以下准备工作以保障后续操作顺利进行一台运行Debian 12的操作系统环境该服务器应已成功安装并正常启动且能够稳定接入互联网以便下载官方软件包及依赖项。具备管理员权限的用户账户您需要拥有一个具有sudo权限的非root用户账户。可交互的命令行终端无论是通过SSH远程连接还是在物理机/虚拟机上本地登录您都需要打开一个终端窗口用于执行后续的命令行操作。一款熟悉的文本编辑器在配置MariaDB的过程中您可能需要编辑配置文件如 /etc/mysql/mariadb.conf.d/50-server.cnf。请确保系统中已安装并熟悉至少一种命令行文本编辑器例如轻量级的nano、功能强大的vim或其他您习惯使用的编辑工具。小贴士建议在操作前更新系统软件包列表sudo apt update以确保安装的是最新稳定版本的MariaDB并减少潜在的兼容性问题。完成以上准备后您就已为MariaDB的安装、安全加固与初始化配置打下了坚实基础。2.安装MariaDB2.1系统升级始终建议在安装之前安装最新的系统软件包以避免依赖性问题。运行以下命令sudoaptupdatesudoaptupgrade-y2.2 安装所需的软件包接下来安装必要的软件包如下所示sudoaptinstallcurlsoftware-properties-common dirmngr-y2.3 添加MariaDB APT存储库分别运行以下命令导入MariaDB签名密钥并添加MariaDB APT存储库:curl-LsS-Ohttps://downloads.mariadb.com/MariaDB/mariadb_repo_setupsudobashmariadb_repo_setup --mariadb-server-version10.62.4 在Debian上安装MariaDB接下来更新软件包并安装MariaDB服务器sudoaptupdatesudoaptinstallmariadb-server mariadb-client2.5 启动并启用MariaDB现在运行以下命令来启动 MariaDB 并使其在系统重新启动时自动启动sudosystemctl start mariadbsudosystemctlenablemariadbsudosystemctl status mariadb2.6 安全的MariaDB安装成功安装MariaDB后请按如下所示继续保护它2.7 检查MariaDB版本要检查MariaDB版本我们需要登录MariaDB如下所示。如果您设置了root密码请使用-p。mysql-uroot-p然后运行以下MySQL命令来检查MariaDB版本:SELECT VERSION();2.8 MariaDB基本命令MariaDB创建数据库CREATE DATABASE shan;MariaDB添加用户并授予权限CREATEUSERmyuserlocalhostIDENTIFIED BYmypassword;GRANT ALL PRIVILEGES ON *.* TOmyuserlocalhostIDENTIFIED BYmypassword;GRANT ALL PRIVILEGES ON *.* TOmyuserlocalhost;FLUSH privileges;SHOW GRANTS FORmyuserlocahost;创建表并添加数据MariaDB创建数据库后您可以创建表并向其中添加数据。CREATE TABLE shan(id INT, name VARCHAR(20), email VARCHAR(20));INSERT INTO shan(id,name,email)VALUES(01,lorna,[email]);MariaDB清理要完全删除MariaDB请运行以下命令。sudoaptpurge mariadb-serversudorm-rf/var/lib/mysql/3.使用mysql_exporter监控MariaDB3.1 为什么用mysqld_exporter监控MariaDB因为它是“用一套工具监控两个世界”的典范。兼容性好MariaDB ≈ MySQL协议功能全面覆盖性能、连接、复制、资源等核心维度生态成熟Prometheus Grafana开箱即用官方认可MariaDB社区明确推荐因此无需寻找“MariaDB Exporter”——直接使用mysqld_exporter就是最优解。3.2 安装mysql_exporter在prometheus的官网下载对应的mysql_exporter的linux版本下载完成后上传到/app目录下也可以使用这个命令一键安装可自定义版本wgethttps://github.com/prometheus/mysqld_exporter/releases/download/v0.18.0/mysqld_exporter-0.18.0.linux-amd64.tar.gz解压mysql_exporter压缩文件tar-zxvfmysqld_exporter-0.18.0.linux-amd64.tar.gz修改mysql_exporter文件名mvmysqld_exporter-0.18.0.linux-amd64/ mysqld_exporter3.3 启动mysql_exporter创建mysql用户与权限在MySQL数据库中创建一个专门用于监控的用户并赋予其足够的权限来查询所需的信息GRANT REPLICATION CLIENT, PROCESS ON *.* TOmysqld_exporterlocalhostidentified by12345678;GRANT SELECT ON performance_schema.* TOmysqld_exporterlocalhost;flush privileges;创建一个文件输入我们刚创建好的用户名及密码vilocalhost_db.cnf[client]userexporterpassword12345678创建mysql_exporter服务vi/etc/systemd/system/mysqld_exporter.service[Unit]DescriptionexporterAfternetwork.target[Service]TypesimpleUserprometheusExecStart/app/mysqld_exporter/mysqld_exporter --config.my-cnf/app/mysqld_exporter/localhost_db.cnf --web.listen-address:9105Restarton-failure[Install]WantedBymulti-user.target添加prometheus用户并修改对应权限sudouseradd--system--no-create-home--shell/sbin/nologin prometheussudochown-Rprometheus:prometheus /app/mysqld_exporter/sudochmod600/app/mysqld_exporter/localhost_db.cnf启动服务并设置开机自启动sudosystemctl daemon-reloadsudosystemctl start mysqld_exportersudosystemctl status mysqld_exporter# 查看是否成功sudosystemctlenablemysqld_exporter# 设置开机自启可选4.配置prometheus监控mysql_exporter没有prometheus的小伙伴可以参考cpolar官网这篇文章《监控不再局域网Cpolar 让 Prometheus 走出内网限制》找到prometheus的配置文件编辑添加如下内容viprometheus.yml- targets:[ip:9105]labels: app:mysqld_exporter重启prometheus服务:systemctl restart prometheus使用浏览器Ip9090打开promethues的页面我们可以看到成功的检测到了mysql_exporter服务啦现在我们已经成功完成了MariaDB的安装并通过mysqld_exporter与Prometheus构建了一套完整的数据库监控体系能够实时掌握连接数、查询性能、主从状态等关键指标。然而在实际工作中我们常常面临一个现实需求如何从外部网络比如家里、出差途中安全地连接到公司内网的MariaDB数据库由于公司服务器通常部署在私有网络中没有公网IP且出于安全考虑防火墙不会直接开放3306端口给互联网——这就导致传统的远程连接方式行不通。这时候就轮到Cpolar闪亮登场了借助Cpolar的内网穿透能力我们可以在不改动现有网络架构、无需申请公网IP、不必开放防火墙端口的前提下建立一条加密、可靠、带身份认证的隧道将公司内网的MariaDB服务安全地映射到一个公网可访问的地址。这样一来无论你身处何地只要拥有授权就能像访问本地服务一样安全连接到公司的数据库——真正实现“内网数据库远程随心连”。接下来我们就来演示如何用Cpolar安全打通这条连接通道。5.安装cpolar实现随时随地开发5.1 什么是cpolarcpolar是一款安全高效的内网穿透工具无需公网IP或复杂配置只需一条命令即可将本地服务器、Web服务或任意端口映射到公网让你随时随地远程访问内网应用特别适合开发调试、远程运维和应急部署等场景。5.2 部署cpolarcpolar 可以将你本地电脑中的服务如 SSH、Web、数据库映射到公网。即使你在家里或外出时也可以通过公网地址连接回本地运行的开发环境。❤️以下是安装cpolar步骤使用一键脚本安装命令sudocurlhttps://get.cpolar.sh|sh安装完成后执行下方命令查看cpolar服务状态如图所示即为正常启动sudosystemctl status cpolarCpolar安装和成功启动服务后在浏览器上输入虚拟机主机IP加9200端口即:【http://ip:9200】访问Cpolar管理界面使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可打开浏览器访问本地9200端口使用cpolar账户密码登录即可,登录后即可对隧道进行管理。6.配置公网地址通过配置你可以在本地WSL或Linux系统上运行SSH服务并通过Cpolar将其映射到公网从而实现从任意设备远程连接开发环境的目的。隧道名称可自定义本例使用了:MariaDB注意不要与已有的隧道名称重复协议tcp本地地址3306端口类型随机临时TCP端口地区China Top创建成功后打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址接下来就可以在其他电脑或者移动端设备异地上使用任意一个地址在终端中访问即可。tcp 表示使用的协议类型2.tcp.cpolar.top是Cpolar提供的域名15969是随机分配的公网端口号通过Cpolar提供的公网地址和端口MariaDB就可以从任意一台主机连接到啦mysql-h2.tcp.cpolar.top-P15969-uremote_user-p7.保留固定TCP公网地址使用cpolar为其配置TCP地址该地址为固定地址不会随机变化。选择区域和描述有一个下拉菜单当前选择的是“China Top”。右侧输入框用于填写描述信息。保留按钮在右侧有一个橙色的“保留”按钮点击该按钮可以保留所选的TCP地址。列表中显示了一条已保留的TCP地址记录。地区显示为“China Top”。地址显示为“8.tcp.cpolar.top:11849”。登录cpolar web UI管理界面点击左侧仪表盘的隧道管理——隧道列表找到所要配置的隧道mysql点击右侧的编辑。修改隧道信息将保留成功的TCP端口配置到隧道中。端口类型选择固定TCP端口预留的TCP地址填写保留成功的TCP地址点击更新。创建完成后打开在线隧道列表此时可以看到随机的公网地址已经发生变化地址名称也变成了保留和固定的TCP地址。最后测试一下固定的地址是否好用测试命令mysql-h8.tcp.cpolar.top-P11849-uremote_user-p这样我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。总结搭完这套环境之后远程查数据库这件事才算真正落地了。之前需要查数据但连不进去的尴尬解决了现在有告警随时可以处理不用等人回公司。但这个改动很小链路是加密的用户权限是分离的数据库本身没有暴露任何端口到公网cpolar 充当的是可信的桥接层而不是开放的大门。后续如果要接 Grafana 做可视化看板Prometheus 那边已经有了基础数据直接配 Grafana 数据源就行整套监控体系的扩展性是现成的。
![[Android] 全能语音计算器v4.6](http://pic.xiahunao.cn/yaotu/[Android] 全能语音计算器v4.6)
:测试如何提前在代码提交阶段发现 Bug?)
)
