1. 为什么需要SSH隧道连接MySQL在企业开发中我们经常遇到这样的场景数据库服务器部署在内网环境开发机在外网无法直接访问。比如测试环境的MySQL部署在192.168.1.100而你的SpringBoot应用运行在办公网络192.168.2.x网段。传统做法可能是让运维开通防火墙端口映射但这会带来安全隐患。我去年参与的一个金融项目就遇到这种情况。客户的生产数据库完全隔离在内网但开发阶段需要频繁执行SQL调试。最终我们采用SSH隧道方案既满足了安全要求又实现了开发便利性。这种方案的核心优势在于加密传输所有数据经过SSH加密通道传输避免明文暴露权限控制通过SSH密钥或账号密码实现访问控制零网络改造不需要调整现有网络架构临时性连接断开后隧道自动销毁不留安全隐患2. 环境准备与依赖配置2.1 必备组件清单在开始编码前请确保准备好以下要素一台具有SSH访问权限的跳板机通常由运维提供目标MySQL数据库的内网地址和端口有效的SSH认证凭据密码或密钥文件SpringBoot 2.x项目基础环境2.2 Maven依赖配置核心依赖是JSch库它是Java实现SSH协议的经典工具。在pom.xml中添加dependency groupIdcom.jcraft/groupId artifactIdjsch/artifactId version0.1.55/version !-- 建议使用最新版 -- /dependency同时确保有MySQL驱动依赖dependency groupIdmysql/groupId artifactIdmysql-connector-java/artifactId scoperuntime/scope /dependency3. 实现SSH隧道连接3.1 基础版工具类实现先看一个最简实现方案。创建SSHManager类import com.jcraft.jsch.*; public class SSHTunnel { private Session session; private static final int LOCAL_PORT 3307; // 本地映射端口 public void connect(String sshHost, int sshPort, String sshUser, String sshPassword, String mysqlHost, int mysqlPort) throws JSchException { JSch jsch new JSch(); session jsch.getSession(sshUser, sshHost, sshPort); session.setPassword(sshPassword); Properties config new Properties(); config.put(StrictHostKeyChecking, no); // 首次连接免验证 session.setConfig(config); session.connect(); // 关键步骤端口转发 session.setPortForwardingL(LOCAL_PORT, mysqlHost, mysqlPort); } public void disconnect() { if(session ! null session.isConnected()) { session.disconnect(); } } }使用时需要注意StrictHostKeyChecking设为no仅限测试环境生产环境应配置known_hosts本地端口建议选择3306-3399范围避免冲突连接超时时间可通过session.setTimeout(5000)设置3.2 SpringBoot优雅集成方案更推荐使用SpringBoot的配置化方式。首先创建配置类Configuration ConditionalOnProperty(name ssh.tunnel.enabled, havingValue true) public class SshTunnelConfig { Value(${ssh.host}) private String sshHost; Value(${ssh.port:22}) private int sshPort; // 其他参数... Bean(destroyMethod disconnect) public SSHTunnel sshTunnel() throws JSchException { SSHTunnel tunnel new SSHTunnel(); tunnel.connect(sshHost, sshPort, ...); return tunnel; } }然后在application.yml中配置ssh: tunnel: enabled: true host: jump.server.com username: dev_user password: ${SSH_PASSWORD} # 建议从环境变量读取 forward: local-port: 3307 remote-host: mysql.internal remote-port: 33064. 数据库连接配置技巧4.1 动态数据源配置隧道建立后数据源URL需要指向本地映射端口spring.datasource.urljdbc:mysql://127.0.0.1:3307/order_db?useSSLfalse spring.datasource.usernamedb_user spring.datasource.password${DB_PASSWORD}4.2 连接池参数优化由于经过隧道转发网络延迟会增大建议调整连接池参数spring: datasource: hikari: maximum-pool-size: 10 # 默认值可能过高 connection-timeout: 30000 idle-timeout: 6000005. 生产环境实战经验5.1 密钥认证最佳实践密码认证不安全推荐使用SSH密钥// 在connect方法中添加 jsch.addIdentity(/path/to/private_key, key_passphrase); // 移除session.setPassword()服务器端需要将公钥添加到~/.ssh/authorized_keys设置合适的文件权限chmod 600 ~/.ssh/authorized_keys5.2 稳定性保障方案我遇到过隧道意外断开导致服务不可用的情况推荐以下解决方案心跳检测定时执行简单SQL保持连接Scheduled(fixedRate 300000) public void keepAlive() { jdbcTemplate.execute(SELECT 1); }自动重连捕获异常时重建连接Retryable(maxAttempts 3, backoff Backoff(delay 1000)) public void connectWithRetry() throws JSchException { // 连接代码 }连接池分离为关键业务配置独立数据源6. 常见问题排查指南6.1 连接超时问题错误现象java.net.ConnectException: Connection timed out排查步骤先用SSH客户端测试基础连接性ssh -v -p 22 userjump.server检查防火墙规则验证跳板机的端口转发权限6.2 认证失败处理错误信息Auth fail解决方案检查用户名/密码是否正确确认服务器是否允许密码认证# 在服务器上检查 grep PasswordAuthentication /etc/ssh/sshd_config密钥认证需要检查私钥格式是否为PEM6.3 端口冲突问题错误信息java.net.BindException: Address already in use处理方法查看占用端口的进程lsof -i :3307修改local-port配置为其他值确保没有重复创建隧道7. 安全增强建议7.1 敏感信息保护千万不要将密码硬编码在代码中推荐做法使用环境变量String password System.getenv(SSH_PASSWORD);配合配置中心如Spring Cloud Config密钥文件存放在安全目录设置400权限7.2 网络层加固限制跳板机的SSH访问IP为数据库用户设置最小权限启用MySQL SSL连接定期轮换SSH密钥8. 替代方案对比当SSH隧道不能满足需求时可以考虑方案优点缺点VPN全局网络互通配置复杂权限控制粗粒度数据库中间件功能丰富需要额外维护组件云厂商专线稳定低延迟成本较高在最近的一个物联网项目中我们最终选择了SSH隧道白名单的组合方案。既满足了安全审计要求又保证了开发调试效率。实际使用中要注意及时关闭不再需要的隧道连接避免资源浪费。