您现在的位置是:首页 > 文章详情

MySQL 中 GRANT 操作会引起复制中断吗?

日期:2024-07-15点击:95

一个案例讲清楚 GRANT 操作的生效过程。

作者:杨彩琳,爱可生华东交付部 DBA,主要负责 MySQL 日常问题处理及 DMP 产品支持。爱好跳舞,追剧。

爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。

本文约 1100 字,预计阅读需要 3 分钟。

问题背景

客户反馈,某业务测试环境的数据库主从同步断开。

登录到从库,执行 show slave status\G,发现 sql 线程没有工作了,具体报错为:

LAST_ERROR_MUMBER: 1410 LAST_ERROR_MESSAGE: Worker 1 failed executing transaction 'c593bdc6-cd10-11ec-ac44-0050568a0cc2:2003275' at master log mysql-bin.00187, end_log_post 142 'You are not allowed to create a user with GRANT' on query. Default database: 'mysql'. Query: 'GRANT ALL PRIVILIEGES ON *.* TO 'p-dms-all'@100.104.%'' 

从提示可以看出是 GRANT 操作失败导致 sql 线程断开了。

经过与其他运维同事的沟通,了解到客户执行了创建用户并授权的操作。由于数据库中本身有一个未使用的用户,所以选择直接对 mysql.user 表的用户数据做 UPDATE 操作实现授权,从 MySQL 操作日志记录也可以看到如下操作:

尝试执行 start slave,从库的 sql 线程就已经正常工作了。GRANT 的操作也已经正常回放了。

也许你好奇这个过程中到底发生了什么,下面通过复现验证并解释该现象。

本地复现

现有一套 MySQL 8.0 的主从,数据库中已存在只读用户 test@'10.186.%'

mysql> show grants for test@'10.186.%'; +------------------------------------------+ | Grants for test@10.186.% | +------------------------------------------+ | GRANT SELECT ON *.* TO `test`@`10.186.%` | +------------------------------------------+ 1 row in set (0.00 sec) 

主库更改 test@'10.186.%' 用户的 host 并进行授权操作。

mysql> update mysql.user set host='%' where user='test'; Query OK, 1 row affected (0.00 sec) Rows matched: 1 Changed: 1 Warnings: 0 mysql> grant all on *.* to test@'%'; ERROR 1410 (42000): You are not allowed to create a user with GRANT mysql> grant all on *.* to test@'%'; Query OK, 0 rows affected (0.00 sec) 

可以看到第一次 GRANT 操作失败了,再执行第二次可以成功。此时查看从库的复制状态,从库的 sql 线程已断开,稳定复现该问题。

mysql> show slave status\G *************************** 1. row *************************** Last_Errno: 1410 Last_Error: Coordinator stopped because there were error(s) in the worker(s). The most recent failure being: Worker 1 failed executing transaction '59c87cdc-9a47-11ee-b06e-02000aba394f:149931' at master log mysql-bin.000001, end_log_pos 68067966. See error log and/or performance_schema.replication_applier_status_by_worker table for more details about this failure or others, if any. mysql> select * from performance_schema.replication_applier_status_by_worker limit 1\G *************************** 1. row *************************** LAST_ERROR_MESSAGE: Worker 1 failed executing transaction '59c87cdc-9a47-11ee-b06e-02000aba394f:149931' at master log mysql-bin.000001, end_log_pos 68067966; Error 'You are not allowed to create a user with GRANT' on query. Default database: ''. Query: 'GRANT ALL PRIVILEGES ON *.* TO 'test'@'%'' 

官方说明

  • 如果使用账户管理语句更改授权表,服务器会注意到这些更改并立即将授权表加载到内存中。例如 GRANT,REVOKE,SET PASSWORD,RENAME USER 等操作。
  • 如果使用 INSERTUPDATEDELETE 等语句直接修改授权表(不推荐),这些更改并不会加载到内存,除非告诉服务器重新加载授权表或者重启数据库。
  • flush-privileges 操作可以让服务器重新加载授权表。

官方文档的这段描述可以解释为什么在 UPDATE 操作之后,执行两次 GRANT 才能成功。

分析过程

UPDATE 操作之后并未将授权表的更改加载到内存,此时内存中并没有 test@'%' 用户,所以第一次 GRANT 操作失败了。

虽然返回执行失败了,但是第一次 GRANT 执行实际有将 UPDATE 的变更加载到内存(可以理解是隐式执行了 flush privileges,不过 flush privileges 并没有记录到 binlog 日志中),所以第二次 GRANT 执行成功,从库回放到 GRANT 时复制中断重新启动复制即可恢复也是这个逻辑。

GRANT 操作是不是原子性?

那么问题来了,从复现的现象来看,第一个 GRANT 操作虽然执行返回错误,但是实际上已进行了重载授权表的操作。所以,GRANT 操作失败后并没有完全回滚,看来 GRANT 操作不是一个原子性操作,可以来验证一下。

实验验证

总结

  1. GRANT 操作并不是一个原子性操作,不管执行成功与否,都会触发一个隐式重载授权表的行为。
  2. 在生产环境中需要规范用户创建及授权的操作,不推荐使用 DML 语句去直接变更 mysql.user 表,可能会引发其他的问题,若使用了 DML 语句进行变更,需要手工执行 flush privileges

更多技术文章,请访问:https://opensource.actionsky.com/

关于 SQLE

SQLE 是一款全方位的 SQL 质量管理平台,覆盖开发至生产环境的 SQL 审核和管理。支持主流的开源、商业、国产数据库,为开发和运维提供流程自动化能力,提升上线效率,提高数据质量。

✨ Github:https://github.com/actiontech/sqle

📚 文档:https://actiontech.github.io/sqle-docs/

💻 官网:https://opensource.actionsky.com/sqle/

👥 微信群:请添加小助手加入 ActionOpenSource

🔗 商业支持:https://www.actionsky.com/sqle

原文链接:https://my.oschina.net/actiontechoss/blog/11524846
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章