好问题！这个坑我之前在Docker+MySQL的环境里也踩过，核心原因是skip-name-resolve的工作机制和Docker网络的DNS规则在打架，下面给你几个靠谱的解决方案：

核心原因先理清楚 #

当你开启skip-name-resolve时，MySQL会彻底禁用客户端IP的反向DNS解析——也就是说，它不会把客户端的IP地址转换成对应的主机名来匹配授权规则，只会要么直接用IP匹配，要么严格匹配客户端连接时传递的主机名。而Docker自定义网络里，容器的完整域名（FQDN）是容器名.网络名（比如你报错里的container.dockernetwork_default），如果你只授权了user@'container'，MySQL自然会认为这是两个不同的主机，直接拒绝。

解决方案1：调整授权规则兼容FQDN或通配符 #

这是最简单直接的方法，不需要改任何容器配置：

• 如果你只需要让特定容器访问，直接授权它的完整FQDN：

GRANT ALL PRIVILEGES ON your_target_db.* TO 'user'@'container.dockernetwork_default' IDENTIFIED BY 'your_secure_password';
FLUSH PRIVILEGES;

• 如果要让同一个Docker网络下的所有容器都能访问，可以用通配符匹配网络后缀：

GRANT ALL PRIVILEGES ON your_target_db.* TO 'user'@'%.dockernetwork_default' IDENTIFIED BY 'your_secure_password';
FLUSH PRIVILEGES;

这样你用短容器名连接时，Docker的DNS会自动把短名解析成完整FQDN，MySQL就能匹配到授权规则了，完全不用手动加网络名。

解决方案2：给客户端容器设置自定义主机名 #

如果你的客户端容器是固定的，可以直接给它设置一个短主机名，让MySQL能直接匹配：

1. 启动客户端容器时加上--hostname参数：

docker run -d --name container --hostname container --network dockernetwork_default your_client_image

2. 然后在MySQL里授权这个短主机名：

GRANT ALL PRIVILEGES ON your_target_db.* TO 'user'@'container' IDENTIFIED BY 'your_secure_password';
FLUSH PRIVILEGES;

这样客户端用短名连接时，MySQL看到的主机名就是你设置的短名，直接匹配授权。

解决方案3：给MySQL容器设置网络别名 #

这个方法适合多客户端访问的场景，给MySQL容器设置一个全局的短别名，所有客户端都用这个别名连接：

1. 启动MySQL容器时添加--network-alias参数：

docker run -d --name mysql_server --network dockernetwork_default --network-alias mysql your_mysql_image

2. 授权这个别名对应的主机名：

GRANT ALL PRIVILEGES ON your_target_db.* TO 'user'@'mysql' IDENTIFIED BY 'your_secure_password';
FLUSH PRIVILEGES;

之后所有客户端容器直接用mysql作为主机名连接即可，完全不用管容器名或网络名，非常清爽。

内容的提问来源于stack exchange，提问作者Veltu