pgpool是postgresql-ha高可靠集群的代理工具,提供了负载均衡、连接池、自动故障转移、在线恢复、复制、看门狗等功能,bitnami提供了postgresql数据库的helm的安装包,可以很容易进行postgresql高可靠k8s环境的安装,但bitnami提供的镜像安全漏洞很多,如下图:
不得不使用ubuntu 20重新进行构建镜像,费用了九牛二虎之力构建的镜像部署后,postgresql-ha可以正常启动,但pgpool无法正常启动,总报failed to authenticate with backend using SCRAM 导致pgpool总是重启,在网上也没找到这种错误的解决方法。
使用bitnami/postgresql-ha原镜像都没问题,可一换成自己构建的镜像就出这个错,不得不怀疑我构建的镜像有问题,但能有什么问题呢,测试三个节点都正常,百思不得其解。看来得深入的了解pgpool的配置的,使用SCRAM进行搜索,发现升级PostgreSQL密码到SCRAM的方法 - 墨天轮介绍SCRAM,原来postgresql客户端认证有两种方式:MD5与scram-sha-256,通过以下命令可以查看到postgresql使用哪种认证方式:
postgres=# SELECT rolname, rolpassword ~ '^SCRAM-SHA-256\$' AS has_upgraded
postgres-# FROM pg_authid
postgres-# WHERE rolcanlogin;
rolname | has_upgraded
----------+--------------
postgres | t
repmgr | t
(2 rows)
如果是t,说明使用scram-sha-256密码加密方式,可以进一步使用下面的命令验证一下
postgres=# select passwd from pg_shadow where usename = 'postgres';
passwd
---------------------------------------------------------------------------------------------------------------------------------------
SCRAM-SHA-256$4096:iAmKIA8/wN/yEXLBzxjBFA==$mS54MmmMdXnnkR8y6ZZ2zsbkOyQokTVzk0zZvSN1NSs=:SNsbmxL+dIuZkfl9+F1v9XAZwJjDB1f9/wy6rC0WG24=
(1 row)
进一步证实了的确是scram-sha-256方式认证的。
再看一下bitnami/postgresql-ha镜像里的这两项参数
postgres=# SELECT rolname, rolpassword ~ '^SCRAM-SHA-256\$' AS has_upgraded
postgres-# FROM pg_authid
postgres-# WHERE rolcanlogin;
rolname | has_upgraded
----------+--------------
postgres | f
repmgr | f
(2 rows)
哦哦哦,这里是f,给发非scram-sha-256方式,再查查密码
postgres=# select passwd from pg_shadow where usename = 'postgres';
passwd
-------------------------------------
md5a3556571e93b0d20722ba62be61e8c2d
(1 row)
看看看,人家是用md5的。
找到这,情况比较明朗了,看来自己构建的容器没问题,安全性更高了,只是pgpool还是使用默认的方式md5,所以验证不能过,看看是不是这样,经过一翻研究,发现pgpool的密码是放在conf/pool_pass的文件里,进入容器中看看
I have no name!@postgresql-ha-pgpool-6d76b7d57b-q47bw:/opt/bitnami/pgpool/conf$ ls
pgpool.conf pool_hba.conf pool_passwd
I have no name!@postgresql-ha-pgpool-6d76b7d57b-q47bw:/opt/bitnami/pgpool/conf$ cat pool_passwd
postgres:md5a3556571e93b0d20722ba62be61e8c2d
的确是md5方式,到此,情况明了了,可是如何让他变成scram-sha-256认证方式呢?那就看bitnami/pgpool说明文档中找吧,很可惜,没找到与scram相关的配置。难道bitnami/pgpool不支持scram认证方式吗?再用scram为关键字从bitnami/pgpool的脚本中找,果然在libpgpool.sh的脚本中找到了
可这些代码只是校验用的,并不是改变认证方式的。没什么用啊!!!再找找,找到了
pgpool_generate_password_file(),生成密码文件,老外代码写的就是好,脚本文件都写得很明了,看来跟PGPOOL_AUTHENTICATION_METHOD这个变量有关。找到这,基本找到解决方案了,在创建容器时,设置这个变量就好了,bitnami/pgpool没有提供直接的设置值的方法,但提供了pgpool.extraEnvVars这个设置环境变量的功能,执行helm安装时,设置这个变量就行了,执行helm install时,加上这个参数
--set pgpool.extraEnvVars\[0\].name="PGPOOL\_AUTHENTICATION\_METHOD",pgpool.extraEnvVars\[0\].value="scram\-sha\-256"
容器可以正常了启动了。再进入到pgpool容器中,看一下pool_passwd文件
I have no name!@postgresql-ha-pgpool-848bbcfcdb-rlhpn:/opt/bitnami/pgpool/conf$ cat pool_passwd
postgres:AESusCdlqVhMOLDhpD6RdbWtA==
变成AES加密的了。使用客户端连接pgpool的svc,完美,一点问题没有。