解决MySQL Operator重启后密码问题：InnoDB访问被拒绝

解决MySQL Operator重启后mysqladmin用户密码变更导致InnoDB实例访问被拒绝的问题

MySQL Operator为Kubernetes上的MySQL InnoDB集群管理提供了便捷的方式。然而，有时在Operator重启后，它会更改mysqladmin用户的密码。由于InnoDB实例仍然尝试使用之前的密码，就会出现“访问被拒绝”错误。 这个错误阻碍了集群的正常运作。如何避免这个问题或同步密码以保证InnoDB实例能正常连接呢？下面提供了一些解决方案。

解决方案一： 静态密码配置

最直接的方法是在MySQL Operator的配置文件中设置一个静态密码。确保Operator使用预定义的密码而不是每次都生成随机密码。这样能防止重启后密码的变化，并保持InnoDB实例与Operator之间的密码同步。

操作步骤：

1. 编辑MySQL Operator的Deployment或StatefulSet的配置文件（例如YAML文件）。
2. 找到与mysqladmin用户密码相关的配置项。具体配置项名称取决于你所使用的Operator版本，常见的有adminPassword，rootPassword等。请参考对应Operator的文档。
3. 将配置项的值设置为你想要的静态密码。
4. 应用修改后的配置文件，重启Operator。

示例 (假设Operator使用YAML文件配置):

apiVersion: apps/v1
kind: Deployment
metadata:
  name: mysql-operator
spec:
  template:
    spec:
      containers:
        - name: mysql-operator
          env:
            - name: MYSQL_ADMIN_PASSWORD
              value: "your_static_password" # 替换为你需要的密码
            # 可能还有其他相关的密码配置项，一并设置

安全提示： 直接在配置文件中存储密码可能存在安全风险。更安全的做法是使用Kubernetes Secrets存储密码，然后在配置文件中引用Secret。

解决方案二： 使用Kubernetes Secrets管理密码

Kubernetes Secrets是一种安全的存储敏感信息的方式。可以将mysqladmin密码存储在Secret中，Operator可以通过环境变量或者卷挂载的方式从Secret中读取密码。

操作步骤：

1. 创建Kubernetes Secret。

   kubectl create secret generic mysql-admin-password \
     --from-literal=password="your_static_password" # 替换为你需要的密码
   

2. 修改MySQL Operator的Deployment或StatefulSet配置，从Secret中读取密码。

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: mysql-operator
   spec:
     template:
       spec:
         containers:
           - name: mysql-operator
             env:
               - name: MYSQL_ADMIN_PASSWORD
                 valueFrom:
                   secretKeyRef:
                     name: mysql-admin-password # Secret的名字
                     key: password           # Secret中Key的名字
             # 可能还有其他相关的密码配置项，一并设置
   

3. 应用修改后的配置文件，重启Operator。

原理： Operator从Secret中读取密码，确保即使Operator重启，密码仍然保持一致。InnoDB实例继续使用相同的密码连接，避免访问被拒绝的错误。

安全提示： 定期轮换密码，并限制对Secret的访问权限，增强安全性。

解决方案三： 初始化脚本同步密码

可以编写一个初始化脚本，在InnoDB实例启动时，从某个持久化存储（例如ConfigMap，或者共享存储卷）读取mysqladmin的密码，并将其设置为MySQL服务器的密码。该脚本应在MySQL服务启动之前运行。这种方式稍微复杂一些，但是提供了更高的灵活性。

操作步骤：

1. 创建一个ConfigMap，用于存储mysqladmin密码。

   kubectl create configmap mysql-admin-password-config \
     --from-literal=password="your_static_password"  # 替换为你需要的密码
   

2. 修改InnoDB实例的Pod定义，挂载ConfigMap并执行初始化脚本。

   apiVersion: v1
   kind: Pod
   metadata:
     name: mysql-innodb-instance
   spec:
     initContainers:
       - name: init-password
         image: busybox # 可以选择任何包含`mysql`客户端的镜像
         command: ['sh', '-c', '
             MYSQL_PWD=$(cat /config/password);
             mysql -u root -e "ALTER USER \'mysqladmin\'@\'localhost\' IDENTIFIED BY \'$MYSQL_PWD\';"
             mysql -u root -e "FLUSH PRIVILEGES;"
           ']
         volumeMounts:
           - name: password-config
             mountPath: /config
             readOnly: true
     containers:
       - name: mysql-innodb
         image: mysql:latest # 你的mysql镜像
     volumes:
       - name: password-config
         configMap:
           name: mysql-admin-password-config
   

3. 确保MySQL服务在初始化脚本完成后启动。

原理： 初始化容器在主容器启动之前运行，从ConfigMap读取密码，并使用mysql客户端更改mysqladmin用户的密码。这样确保了InnoDB实例使用的密码与Operator配置的密码一致。

注意： 此解决方案依赖于能够访问mysql命令行的镜像，并且需要在MySQL服务启动之前运行。选择合适的镜像并仔细测试初始化脚本。同时请确保root用户设置了密码或者可以免密登录，用于执行SQL命令修改mysqladmin用户的密码。