转载说明:如果您喜欢这篇文章并打算转载它,请私信作者取得授权。感谢您喜爱本文,请文明转载,谢谢。
1. 前言
PostgreSQL默认只能本机连接,若要在别的客户端远程连接pgsql,则需要修改配置文件pg_hba.conf,添加IPv4白名单。
如果在某些场景下,pgsql前面有两层nginx做代理,IPv4白名单该怎么配置呢?pg数据库获取的clientIP分别又是什么呢?
2. 模拟实验环境规划
准备4台服务器和本地Windows电脑pgAdmin工具,分配如下:
3. 实验环境搭建
-
在10.0.0.66和10.0.0.102服务器分别搭建postgresql应用,搭建步骤可参考《PostgreSQL学习之部署与简单使用》
-
10.0.0.64和10.0.0.65服务器分别安装nginx。并修改nginx配置文件nginx.conf如下:
10.0.0.64服务器修改nginx.conf,添加如下配置(注意:stream和http是同级的,即stream不要放在http{}中):
#代理pgsql数据库
stream {upstream pgsql {server 10.0.0.65:5432;}server {listen 5432;proxy_connect_timeout 30s;proxy_timeout 30s;proxy_pass pgsql;}
10.0.0.65服务器修改nginx.conf,添加如下配置(注意:stream和http是同级的,即stream不要放在http{}中):
#代理pgsql数据库
stream {upstream pgsql {server 10.0.0.66:5432;}server {listen 5432;proxy_connect_timeout 30s;proxy_timeout 30s;proxy_pass pgsql;}
- 本地Windows电脑安装pgAdmin工具。
4. 场景实验
实验分三个场景做测试:
- 场景一:客户端只能通过两层nginx做代理转发,连接postgresql;
- 场景二:客户端绕开nginx代理,直连pgsql数据库;
- 场景三:客户端可走nginx代理,也可直连pg数据库;
场景一:客户端只能通过nginx代理连接数据库
pg_hba.conf文件中IPv4白名单配置:
此种场景,白名单只配置任意一台nginx代理的IP,不配置客户端IP,重启pgsql:
host all all 10.0.0.65/24 md5
#或者:
#host all all 10.0.0.64/24 md5
测试结果:
在服务器客户端102和Windows客户端pgAdmin工具,均可通过nginx代理正常访问PG数据库。在配置任一nginxIP白名单情况下,无论是通过nginx-64或者nginx-65连接PG数据库均可。
此时PG数据库通过pgAdmin工具可以直观看到,只要是走nginx代理过来的连接,数据库接收到的clientIP均为第二层nginx的IP地址(也可以在postgresql数据库本身通过命令行 select * from pg_stat_activity; 查看)。
如下图,在client列中看到两个10.0.0.65的客户端连接,分别是Windows客户端通过pgAdmin和服务器客户端102通过命令行psql -h 10.0.0.64 -p5432连接进来的(最后一行IP为空白的记录是因为在pg数据库本身是登录状态)。
场景二:客户端绕开nginx代理,直连pgsql数据库
pg_hba.conf文件中IPv4白名单配置:
此种场景,则可只配置客户端IP,不配置2台nginx代理的IP,重启pgsql:
host all all 192.168.0.36/24 md5
host all all 10.0.0.102/24 md5
测试结果:
通过nginx代理已无法进入pg数据库。
客户端102和Windows客户端均绕开2台nginx代理服务器,直连pgsql。此时pgsql接收的客户端IP显示为真实的客户端IP:
场景三:客户端可走nginx代理,也可直连pg数据库
pg_hba.conf文件中IPv4白名单配置:
此种场景,可配置服务器IP网段+两台nginxIP,也可以放开所有IP访问权限,重启pgsql:
host all all 0.0.0.0/0 md5
测试结果:
服务器客户端102和Windows客户端pgAdmin能通过nginx代理正常连接pgsql,也能绕过nginx直连pgsql。
pg数据库获取的clientIP则为场景一和场景二的结合体:通过nginx代理访问的,clientIP为nginx-65的IP;直连的,clientIP为客户端真实IP:
实验结论
经过实验,结论如下图:
(全文完)
