關于skip_name_resolve參數的總結分享

作為MySQL調優的一部分，很多人都推薦開啟skip_name_resolve。這個參數是禁止域名解析的（當然，也包括主機名）。很多童鞋會好奇，這背后的原理是什么，什么情況下開啟這個參數比較合適。

基于以下原因，MySQL服務端會在內存中維護著一份host信息，包括三部分：IP，主機名和錯誤信息。主要用于非本地TCP連接。

1. 通過在第一次建立連接時緩存IP和host name的映射關系，同一主機的后續連接將直接查看host cache，而不用再次進行DNS解析。

2. host cache中同樣會包含IP登錄失敗的錯誤信息?？筛鶕@些信息，對這些IP進行相應的限制。后面將會具體提到。

host cache的信息可通過performance_schema中host_cache表查看。

那么，IP和host name的映射關系是如何建立的呢？

1. 當有一個新的客戶端連接進來時，MySQL Server會為這個IP在host cache中建立一個新的記錄，包括IP，主機名和client lookup validation flag，分別對應host_cache表中的IP，HOST和HOST_VALIDATED這三列。第一次建立連接因為只有IP，沒有主機名，所以HOST將設置為NULL，HOST_VALIDATED將設置為FALSE。

2. MySQL Server檢測HOST_VALIDATED的值，如果為FALSE，它會試圖進行DNS解析，如果解析成功，它將更新HOST的值為主機名，并將HOST_VALIDATED值設為TRUE。如果沒有解析成功，判斷失敗的原因是永久的還是臨時的，如果是永久的，則HOST的值依舊為NULL，且將HOST_VALIDATED的值設置為TRUE，后續連接不再進行解析，如果該原因是臨時的，則HOST_VALIDATED依舊為FALSE，后續連接會再次進行DNS解析。

另，解析成功的標志并不只是通過IP，獲取到主機名即可，這只是其中一步，還有一步是通過解析后的主機名來反向解析為IP，判斷該IP是否與原IP相同，如果相同，才判斷為解析成功，才能更新host cache中的信息。

基于上面的總結，下面談談 host cache的優缺點：

缺點：當有一個新的客戶端連接進來時，MySQL Server都要建立一個新的記錄，如果DNS解析很慢，無疑會影響性能。如果被允許訪問的主機很多，也會影響性能，這個與host_cache_size有關，這個參數是5.6.5引入的。5.6.8之前默認是128,5.6.8之后默認是-1,基于max_connections的值動態調整。所以如果被允許訪問的主機很多，基于LRU算法，先前建立的連接可能會被擠掉，這些主機重新進來時，會再次進行DNS查詢。

優點：通常情況下，主機名是不變的，而IP是多變的。如果一個客戶端的IP經常變化，那基于IP的授權將是一個繁瑣的過程。因為你很難確定IP什么時候變化。而基于主機名，只需一次授權。而且，基于host cache中的失敗信息，可在一定程度上阻止外界的暴力破解攻擊。

關于阻止外界的暴力破解攻擊，涉及到max_connect_errors參數，默認為100，官方的解釋如下：

復制代碼代碼如下:

		
		If more than this many successive connection requests from a host are interrupted without a successful connection, the server blocks that host from further connections.如果某個客戶端的連接達到了max_connect_errors的限制，將被禁止訪問，并提示以下錯誤：

復制代碼代碼如下:

		
		Host 'host_name' is blocked because of many connection errors.
		Unblock with 'mysqladmin flush-hosts' 

下面來模擬一下

首先，設置max_connect_errors的值

mysql> show variables like 'max_connect_errors';+--------------------+-------+| Variable_name   | Value |+--------------------+-------+| max_connect_errors | 100  |+--------------------+-------+row in set (0.00 sec)mysql> set global max_connect_errors=2;Query OK, 0 rows affected (0.00 sec)mysql> show variables like 'max_connect_errors';+--------------------+-------+| Variable_name   | Value |+--------------------+-------+| max_connect_errors | 2   |+--------------------+-------+row in set (0.00 sec)

通過telnet模擬interrupted without a successful connection。

[root@mysql-slave1 ~]# telnet 192.168.244.145 3306Trying 192.168.244.145...Connected to 192.168.244.145.Escape character is '^]'.N5.6.26-log     K]qA1nYT!w|+ZhxF1c#|kmysql_native_password^]!#08S01Got packets out of orderConnection closed by foreign host.[root@mysql-slave1 ~]# telnet 192.168.244.145 3306Trying 192.168.244.145...Connected to 192.168.244.145.Escape character is '^]'.NY#>PVB(>!Bl}NKnjIj]sMmysql_native_password^]!#08S01Got packets out of orderConnection closed by foreign host.[root@mysql-slave1 ~]# mysql -h192.168.244.145 -uroot -p123456Warning: Using a password on the command line interface can be insecure.ERROR 1129 (HY000): Host '192.168.244.144' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts'

即便后來使用了正確的賬號和密碼登錄，依舊會被阻止。

再來看看host_cache表中的信息，sum_connect_errors為2了。

mysql> select ip,host,host_validated,sum_connect_errors,count_authentication_errors from performance_schema.host_cache;+-----------------+------+----------------+--------------------+-----------------------------+| ip       | host | host_validated | sum_connect_errors | count_authentication_errors |+-----------------+------+----------------+--------------------+-----------------------------+| 192.168.244.144 | NULL | YES      |         2 |              0 |+-----------------+------+----------------+--------------------+-----------------------------+row in set (0.00 sec)

該阻止會一直生效，直到采取以下操作：

1. mysql> flush hosts;

2. # mysqladmin flush-hosts

3. truncate table performance_schema.host_cache;

4. 或者等待該記錄從host cache中被擠掉。

如果要禁止DNS解析，可設置skip_name_resolve參數，這樣，mysql.user表中基于主機名的授權將無法使用，且錯誤日志中會提示：

[Warning] 'user' entry 'root@mysql-slave1' ignored in --skip-name-resolve mode.

這里，通過mysql-slave1訪問，將會拒絕訪問

[root@mysql-slave1 ~]# mysql -h192.168.244.145 -uroot -p123Warning: Using a password on the command line interface can be insecure.ERROR 1045 (28000): Access denied for user 'root'@'192.168.244.144' (using password: YES)

host cache是默認開啟的，如果要禁掉，可將host_cache_size設置為0，該參數是個動態參數，可在線修改。

如果要完全禁掉TCP/IP連接,可在MySQL啟動時，設置skip-networking參數。

總結：

1. 從原理上看，DNS解析一般只針對客戶端的第一次連接，客戶端數據量比較小的情況下，開銷其實不大，完全不必啟動skip_name_resolve參數，帶來的好處就是，為客戶端和多變的IP直接解耦，只需對主機名進行一次授權。

2. 在沒開啟skip_name_resolve情況下，無論是通過# mysql -p123456 走socket連接還是# mysql -p123456 -h127.0.0.1走TCP連接，顯示的用戶都是root@localhost。如果要顯示root@127.0.0.1，必須開啟skip_name_resolve參數。

另，可通過/s查看當前連接使用的是socket還是TCP。

以上這篇關于skip_name_resolve參數的總結分享就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持VeVb武林網。