关于本次EVE-NG v7 ISO部署方式国内大量用户出现登录失败问题

hbugs001

1 本次EVE-NG数据库登录故障完整经验总结

1.1 一、故障根源核心原因

1. 虚拟机快照还原后主机本地时间错乱

新装虚拟机/恢复快照会丢失正确系统时间，本地机器时间大幅偏移，即便后续开启NTP同步校正时间，也会触发连锁异常。

1. Java安全校验拦截未生效SSL证书（关键诱因）

Tomcat+Guacamole走本地127.0.0.1 SSL内部通信，机器时间超前/滞后导致SSL证书判定为尚未生效，Java安全机制直接阻断数据库请求，抛出MySQL通信链路失败报错，表现为后台admin账号登录数据库校验失败。

1. 时区地域差异化问题

• UTC正时区（含中国UTC+8、巴黎UTC+2等）用户极易复现该故障；
• UTC负时区（美国加州等西时区）不受影响，伦敦零时区无异常；

国内用户除登录失败外，部分人登录后全操作严重卡顿。

1. MySQL本地Socket与TCP连接权限隔离陷阱

MySQL8.0区分 localhost（Unix套接字）和 127.0.0.1（TCP回环）两套权限，快照环境仅配置root@localhost套接字权限，缺少root@127.0.0.1 TCP访问权限，双重加剧数据库连接失败。

1.2 二、踩坑教训

1. 快照/全新镜像部署第一步必须校准系统时间

恢复v4/v9/v10镜像快照后，第一时间检查系统硬件时钟、时区，开启NTP强制同步，不要等到业务报错再排查时间问题；时间偏移是隐藏最深的前置诱因，排查耗时长达12小时。

1. 本地127.0.0.1内网通信没必要启用SSL

Guacamole与MySQL、Tomcat本地回环通信均为单机内部访问，SSL加密完全多余，证书时间校验带来大量兼容故障，官方根治方案为移除本地SSL校验。

1. MySQL 8.0权限两套链路分开配置，不可混用

命令行 mysql/mysql -h localhost走套接字能登录，不代表 127.0.0.1 TCP连接有权限，部署后必须单独创建 root@127.0.0.1账号并授权，否则应用层TCP访问数据库直接拒绝。

1. 故障存在地域时区特异性，国内用户属于高发群体

官方ISO镜像默认配置对东八区适配差，除登录失败外还伴随操作卡顿，遇到同类问题可优先怀疑时间+SSL证书校验，不用局限排查数据库连通性本身。

1. 出现数据库Communications link failure报错不能只查网络

日志显示TCP数据包发出去无返回时，不要只排查防火墙、MySQL服务、JDBC配置，还要额外核对系统时间、Java SSL证书有效期校验逻辑。

1.3 三、标准化前置规避方案（后续部署必做）

1. 镜像/快照恢复流程：先执行 timedatectl核对时间时区，安装chrony同步网络时间，同步后写入硬件时钟；
2. MySQL初始化：同时授予套接字localhost、TCP 127.0.0.1两套访问权限；
3. Guacamole配置优化：关闭本地127.0.0.1通信SSL加密，消除证书时间校验问题；
4. 国内用户部署预检查：完成时间同步后，提前测试admin后台登录，规避登录卡顿、认证失败双问题；
5. 遇同类时区相关SSL故障，可直接邮件反馈官方支持邮箱 support@eve-ng.net提交测试案例协助修复。

2 关于部分用户登录及web操作各种卡顿严重影响体验问题的测试以及临时修复方法

2.1 测试方法eve命令行执行以下命令检查耗时，出现耗时较长则大概率web操作也会卡顿

time getent hosts eve-ng

time getent hosts 127.0.0.1

time getent hosts localhost

time sudo -u tomcat true

time sudo -u tomcat mysql -h 127.0.0.1 -u guacuser -peve-ng guacdb -e "SELECT 1;"

time mysql -h 127.0.0.1 -u guacuser -peve-ng guacdb -e "SELECT 1;"

2.2 如以上测试命令出现延迟问题，请继续测试以下命令

hostname

hostname -f

hostname -A

getent hosts eve-ng

getent hosts localhost

getent hosts 127.0.0.1

getent ahosts eve-ng

getent ahosts localhost

getent ahosts 127.0.0.1

2.3 临时修复方案：直接修改hosts文件添加一下记录，然后重启eve虚拟机即可

127.0.0.1  localhost
127.0.1.1  eve-ng

2.4 目前登录失败问题已经修复，在线升级到7.0.1-11即可，操作延迟等问题需要等下一个版本更新

apt update && apt upgrade -y

3 PS:由于昨晚跟EVE-NG开发Alain排查登录失败问题一直到凌晨，昨晚直播鸽了，今晚8点准时直播演示