要实现外部访问Docker中MySQL需四步：1. 启动容器时用-p映射3306端口；2. 创建或修改用户权限允许'%'远程登录；3. 确保bind-address设为0.0.0.0；4. 开放宿主机防火墙及云安全组规则。

在 Docker 中运行 MySQL 时，默认情况下只允许本地连接。如果需要从外部网络访问 MySQL 容器，必须正确配置网络和权限。以下是关键步骤。

1. 启动容器时开放端口

运行 MySQL 容器时，使用 -p 参数将容器的 3306 端口映射到宿主机：

docker run -d --name mysql-container \ -e MYSQL_ROOT_PASSWORD=your_password \ -p 3306:3306 \ mysql:8.0

这样外部客户端可以通过宿主机 IP 和 3306 端口连接 MySQL。

2. 配置 MySQL 用户远程访问权限

MySQL 默认只允许 root 用户从 localhost 登录。要支持远程访问，需创建用户或修改现有用户的访问权限。

进入容器执行 MySQL 命令：

docker exec -it mysql-container mysql -u root -p

登录后执行以下 SQL 授权 root 用户从任意主机访问（生产环境建议限制 IP）：

CREATE USER 'root'@'%' IDENTIFIED BY 'your_password'; GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION; FLUSH PRIVILEGES;

或者修改已有 root 用户的 host：

UPDATE mysql.user SET Host='%' WHERE User='root' AND Host='localhost'; FLUSH PRIVILEGES;

3. 检查 MySQL 绑定地址

某些 MySQL 镜像默认绑定到 127.0.0.1，会阻止外部连接。确保 bind-address 设置为 0.0.0.0。

可在启动容器时通过配置文件或命令行参数覆盖：

docker run -d --name mysql-container \ -e MYSQL_ROOT_PASSWORD=your_password \ -p 3306:3306 \ --command='--bind-address=0.0.0.0' \ mysql:8.0

或挂载自定义配置文件 my.cnf，包含：

[mysqld] bind-address = 0.0.0.0

4. 防火墙与网络安全

确保宿主机防火墙开放 3306 端口：

# Ubuntu/Debian sudo ufw allow 3306

CentOS/RHEL

sudo firewall-cmd --add-port=3306/tcp --permanent sudo firewall-cmd --reload

云服务器还需检查安全组规则，允许外部 IP 访问 3306 端口。

基本上就这些。只要端口映射正确、用户权限设置合理、MySQL 允许远程绑定，外部就能顺利连接。注意生产环境应避免使用 root 远程登录，建议创建专用用户并限制来源 IP。