MySQL连接AWS KMS失败报错,远程修复思路和故障排查分享
开始)
那次半夜被报警短信吵醒,一看是线上一个核心业务的MySQL数据库连接池报了大量错误,应用日志里清一色的“无法连接到KMS”或者“解密数据密钥失败”,心里咯噔一下,这个库用了AWS KMS来加密一些敏感字段,KMS挂了对我们来说可是个大麻烦,因为是线上环境,只能远程操作,立刻爬起来打开电脑开始排查。
第一步:确认问题范围,是不是只有我们出问题了?
我首先想的不是直接登录数据库服务器,而是先看看是不是AWS那边出了状况,我打开了AWS Health Dashboard,这是AWS官方的服务健康状态页面,看了一眼,我们所在区域的KMS服务显示的是“正常”,其他相关服务如EC2、VPC也都绿油油的,这说明大概率不是AWS全局性的故障,问题可能出在我们自己的配置或者网络环境上,我也在团队的紧急沟通群里问了一下,发现其他使用KMS的应用都好好的,这就进一步把问题范围缩小到了这个特定的MySQL数据库实例和与之关联的KMS密钥上。
第二步:登录服务器,检查数据库和操作系统的日志。
通过SSH连接到托管MySQL的EC2实例后,我第一时间查看了MySQL的错误日志,日志里果然有线索,除了应用连接报错的记录,还有一些更底层的警告,提到了与KMS服务端通信超时,这说明MySQL服务本身在尝试调用KMS客户端组件时就已经失败了。
我检查了系统日志,比如/var/log/messages或syslog,看有没有网络相关的错误,没发现什么明显的网络驱动问题,我用了最基本的网络连通性测试工具telnet,尝试去连接KMS的服务端点,KMS的服务端点通常是一个类似kms.<region>.amazonaws.com的域名,默认端口是443,我执行了命令telnet kms.our-region.amazonaws.com 443,结果发现连接根本建立不起来,直接超时了,这基本上就把问题锁定在了网络层面:我们的EC2实例无法访问KMS的公共服务端点。
第三步:分析网络连通性问题,从安全组和网络ACL入手。
既然网络不通,在AWS环境里,首要怀疑对象就是防火墙规则,也就是安全组和网络ACL。
- 检查EC2实例的安全组: 我登录AWS管理控制台,找到这个数据库实例绑定的安全组,出站规则里明明有一条是允许所有流量访问外网的,看起来没问题,但安全组是有状态的吗?是的,AWS安全组默认是有状态的,这意味着如果出站请求被允许,那么对应的入站响应流量也会自动被允许,所以问题应该不在这里。
- 检查子网的网络ACL: 这是关键一步,网络ACL是无状态的,需要分别设置出站和入站规则,而且它是在子网级别生效的防火墙,我找到了数据库实例所在的子网,查看其关联的网络ACL,果然!在出站规则里,我发现了一条非常诡异的规则:它只允许访问我们内部网络的CIDR段,而拒绝所有其他出站流量,这条规则的优先级比那条允许所有流量的规则更高!这应该是之前某次网络架构调整时,某位同事为了安全起见设置的,但可能测试不充分,或者忘了这个数据库实例需要访问KMS,KMS是公网服务,它的IP地址不在我们内网段里,所以出站请求被这条规则给拦住了。
第四步:实施修复和验证。
找到根因就好办了,我立刻在网络ACL的出站规则里,添加了一条新的规则:允许所有出站流量,并将这条规则的优先级设置得比那条拒绝规则更高,保存规则后,我立刻回到服务器的SSH窗口,再次执行telnet kms.our-region.amazonaws.com 443,这次瞬间就看到了连接成功的提示,紧接着,我重启了MySQL服务(因为连接池里可能还有残留的错误连接),然后让同事紧急验证了一下应用功能,几分钟后,同事反馈应用已经恢复正常,监控图表上的错误率也降到了零。
事后复盘和总结:
这次故障的根本原因就是那条过于严格的网络ACL出站规则,虽然初衷是好的,但忽略了该子网内特定实例(这个MySQL数据库)需要访问外部AWS服务的需求。
通过这次远程排查,我梳理了一个清晰的排查思路,可以总结为以下几点,来源于这次实战经验:
- 由外到内,由广到窄: 先确认是云服务商的问题还是自己的问题,是全局问题还是局部问题,利用好云服务商提供的健康面板。
- 日志是救星: 应用程序日志、数据库日志、系统日志,按顺序查看,它们能给你指明方向。
- 网络连通性是基础: 在云环境中,很多服务故障最终都归结为网络不通,学会使用
telnet、nc等简单工具测试端口的连通性,这是判断网络层是否通畅最直接的方法。 - 牢记AWS的网络防火墙双层结构: 不仅要检查实例级别的安全组,更要检查子网级别的网络ACL,特别是网络ACL的无状态特性,很容易在配置疏忽时埋下坑,任何需要访问外网的服务,都必须确保网络ACL的出站规则是放行的。
- 变更管理很重要: 这次的问题源于一次未经充分测试和影响评估的网络ACL变更,以后所有对网络架构、安全策略的修改,都必须走严格的变更流程,并在非生产环境充分测试。
那次折腾到天亮,虽然很累,但问题顺利解决,并且给团队提了个醒,完善了我们的网络变更规范,也算是有价值的收获。 结束)
本文由凤伟才于2026-01-23发表在笙亿网络策划,如有疑问,请联系我们。
本文链接:http://waw.haoid.cn/wenda/84685.html
