Directus连接Supabase数据库时的SSL证书问题解决方案

问题背景

在使用Directus容器连接Supabase数据库时，开发者遇到了两个主要问题：一是Directus无法解析Supabase的IPv6地址，二是使用Session连接池时出现"SELF_SIGNED_CERT_IN_CHAIN"的SSL证书错误。这些问题导致无法建立安全的数据库连接。

问题分析

IPv6连接问题

Directus本身支持IPv6连接，但问题通常出现在Docker环境配置上。Docker默认可能未启用IPv6支持，特别是在某些操作系统上。此外，DNS解析问题也可能导致"ENOTFOUND"错误。

SSL证书问题

当尝试通过Session连接池连接Supabase时，系统会验证SSL证书链。由于Supabase使用的是自签名证书或中间证书未被系统信任，导致验证失败，出现"SELF_SIGNED_CERT_IN_CHAIN"错误。

解决方案

1. 配置Docker支持IPv6

在docker-compose.yml文件中启用IPv6支持：

networks:
  default:
    enable_ipv6: true

注意：在某些操作系统上，可能需要额外配置Docker守护进程以启用IPv6支持。

2. 使用主机网络模式

作为替代方案，可以使用Docker的主机网络模式：

services:
  directus:
    network_mode: host

这种方式让容器直接使用宿主机的网络栈，可能解决某些网络连接问题。

3. 正确配置SSL证书

对于SSL证书问题，正确的做法是提供Supabase的CA证书文件：

1. 将Supabase提供的CA证书文件保存到容器中
2. 在环境变量中指定证书路径

environment:
  DB_SSL: "true"
  DB_SSL__REQUIRE: "true"
  DB_SSL__CA_FILE: "/path/to/supabase.ca.crt"

4. 环境变量配置示例

完整的docker-compose配置示例：

services:
  directus:
    image: directus/directus:11.4.0
    ports:
      - 8055:8055
    volumes:
      - ./supabase.ca.crt:/supabase.ca.crt
    environment:
      DB_CLIENT: "pg"
      DB_HOST: "your-supabase-host"
      DB_PORT: "5432"
      DB_DATABASE: "postgres"
      DB_USER: "postgres"
      DB_PASSWORD: "your-db-password"
      DB_SSL__CA_FILE: "/supabase.ca.crt"

注意事项

1. 不推荐使用NODE_TLS_REJECT_UNAUTHORIZED=0来绕过证书验证，这会降低安全性
2. 不同Docker版本对IPv6的支持程度不同，特别是在非Linux系统上
3. 确保DNS解析正常工作，可以尝试在容器内测试域名解析

总结

通过正确配置Docker的IPv6支持和提供有效的SSL CA证书，可以解决Directus连接Supabase时遇到的大多数连接问题。关键在于理解Docker网络配置和SSL证书验证机制，而不是简单地禁用安全验证。对于生产环境，建议使用官方提供的证书文件来建立安全的数据库连接。

如果问题仍然存在，建议检查网络环境配置和证书文件的正确性，确保所有中间证书都包含在提供的CA文件中。