在构建现代AI基础设施（如MLflow追踪服务器、数据存储后端或高性能向量数据库）时，通常会采用Docker容器化部署数据库服务，例如MySQL或MariaDB。当你在启动这些服务时，如果看到如下警告信息：

******bash
root@localhost is created with an empty password ! Please consider switching off the –initialize-insecure option

这意味着你的数据库服务以极度不安全的方式初始化了。虽然这能让服务快速启动，但它为攻击者留下了后门，可以直接以 root 身份无密码连接到数据库，对AI基础设施的稳定性和数据安全构成严重威胁。

1. 为什么会出现这个警告？

这个警告通常发生在以下两种情况：

1. 你手动或通过脚本使用了 –initialize-insecure 选项初始化数据库。
2. 你在容器环境中启动了官方MySQL/MariaDB镜像，但没有提供任何根密码相关的环境变量。

当数据库启动脚本检测到没有设置根密码时，为了保证服务能够运行，它会采用“不安全初始化”，将 root 用户的密码设为空，并打印出上述警告。

2. 核心解决方案：使用环境变量进行安全初始化

解决这个问题的最安全、最现代的方式是利用官方镜像提供的环境变量机制，在第一次启动容器时就强制设置一个强壮的根密码。这样可以避免使用任何不安全的初始化选项。

对于 MySQL 8.0 及更高版本，你需要设置 MYSQL_ROOT_PASSWORD 环境变量。

以下是一个推荐的、用于AI基础设施部署的 Docker Compose 配置示例，它同时设置了根密码和应用所需的数据库及用户，从而避免了不安全初始化。

3. 实操示例：安全的 Docker Compose 配置

假设我们正在为 MLflow 或其他元数据服务部署一个 MySQL 后端。

创建一个 .env 文件来存储敏感凭证：

******bash

.env 文件

DB_ROOT_PASSWORD=YourSecureRootPassword123!
MLFLOW_DB_NAME=mlflow_tracking_db
MLFLOW_USER=mlflow_user
MLFLOW_PASSWORD=MlflowSecureKey456

创建 docker-compose.yml 文件：

******yaml
version: ‘3.8’

services:
mysql_db:
image: mysql:8.0
container_name: secure_ai_metadata_db
# 确保数据库失败时可以重启，保持AI服务持久性
restart: unless-stopped
environment:
# 关键安全措施：设置根密码，阻止不安全初始化
MYSQL_ROOT_PASSWORD: ${DB_ROOT_PASSWORD}

1
2
3
4
5
6
7
8
9
10
  # 同时创建ML应用需要的数据库和普通用户

  MYSQL_DATABASE: ${MLFLOW_DB_NAME}

  MYSQL_USER: ${MLFLOW_USER}

  MYSQL_PASSWORD: ${MLFLOW_PASSWORD}



ports:

  - "3306:3306"

volumes:

  # 确保数据持久化，防止容器删除导致AI实验数据丢失

  - db_data:/var/lib/mysql

volumes:
db_data:
driver: local

4. 部署与验证

1. 启动服务: 使用以下命令启动。

   ******bash
   docker compose up -d

   ---

2. 验证日志: 检查容器日志。在这次启动中，你将不会看到关于空密码的警告，因为根密码在初始化阶段就被安全地设置了。

   ******bash
   docker logs secure_ai_metadata_db

   ---

3. 测试连接: 尝试连接数据库，确认需要密码。

   ******bash

   使用设置的密码连接

   docker exec -it secure_ai_metadata_db mysql -u root -p

   系统会提示你输入在 .env 文件中设置的密码

   ---

通过这种方法，我们从根本上解决了 root@localhost is created with an empty password 的安全问题，确保了AI基础设施的后端数据库在容器化部署中的安全性和健壮性。