PostgreSQL集群部署中的SSH统一化配置要点

在构建PostgreSQL高可用集群时，服务器间的SSH通信配置是基础但关键的一环。本文针对集群节点SSH端口和认证方式不统一的情况，深入分析标准化配置的必要性和实施方案。

为什么需要统一SSH配置？

1. 自动化部署需求
   PostgreSQL集群工具（如Patroni、pgpool等）通常假设节点间使用标准SSH端口(22)进行通信，非标准端口会增加配置复杂度。

2. 维护成本控制
   不同密码和端口会导致：

   • 部署脚本需要额外处理变量参数
   • 故障排查时增加定位难度
   • 安全策略难以统一管理

3. 密钥认证优势
   相比密码认证，SSH密钥提供：

   • 更高的安全性（防暴力攻击）
   • 无需交互式输入（适合自动化）
   • 可细粒度控制访问权限

标准化配置实施建议

端口统一方案

1. 修改所有节点的/etc/ssh/sshd_config文件：

   Port 22
   

2. 重启SSH服务后验证连通性：

   systemctl restart sshd
   ssh postgres@node1 -p 22
   

认证方式优化

1. 密码统一（过渡方案）
   临时方案，建议仅用于测试环境：

   sudo passwd postgres
   

2. 密钥认证（生产推荐）

   • 生成密钥对：

     ssh-keygen -t ed25519
     

   • 分发公钥：

     ssh-copy-id -i ~/.ssh/id_ed25519.pub postgres@node2
     

   • 验证无密码登录：

     ssh postgres@node2
     

生产环境增强建议

1. 安全加固

   • 禁用root远程登录
   • 启用fail2ban防护
   • 限制SSH访问IP范围

2. 配置管理工具集成
   使用Ansible等工具批量管理：

   - hosts: pg_nodes
     tasks:
     - name: Deploy SSH config
       template:
         src: sshd_config.j2
         dest: /etc/ssh/sshd_config
   

3. PostgreSQL集群工具适配
   在Patroni等工具的配置文件中明确指定SSH参数（当必须使用非标端口时）：

   postgresql:
     callbacks:
       on_start: ssh -p 2222 %h /usr/bin/start_pg.sh
   

通过标准化SSH基础配置，可以显著降低PostgreSQL集群的运维复杂度，为后续的高可用功能实现奠定坚实基础。建议在集群初始化阶段就完成这些基础规范化工作。