postgres_exporter连接PostgreSQL时SSL配置问题解析

在使用postgres_exporter监控PostgreSQL数据库时，经常会遇到SSL连接相关的问题。本文将深入分析这类问题的成因，并提供完整的解决方案。

问题现象

当用户尝试通过postgres_exporter连接本地PostgreSQL数据库时，即使已经在连接字符串中明确设置了sslmode=disable参数，仍然会收到"SSL is not enabled on the server"的错误提示。错误日志显示连接尝试失败，导致无法采集监控指标。

问题根源

经过分析，这个问题通常由以下两个原因导致：

1. 多目标支持模式配置不当：用户使用了postgres_exporter的多目标支持功能（通过/probe端点），但没有正确配置认证模块。在多目标模式下，环境变量DATA_SOURCE_NAME不会生效，必须通过认证模块来配置SSL参数。

2. 连接模式混淆：用户同时尝试了标准连接模式和多目标连接模式，但配置上出现了冲突。标准模式使用环境变量定义连接，而多目标模式需要完全不同的配置方式。

解决方案

方案一：使用标准连接模式

1. 修改Prometheus配置，移除多目标支持相关的relabel配置
2. 直接使用/metrics端点而非/probe端点
3. 确保DATA_SOURCE_NAME环境变量正确设置连接字符串

示例配置：

scrape_configs:
  - job_name: 'postgres'
    static_configs:
      - targets: ['host.docker.internal:9187']

方案二：正确配置多目标支持

1. 在postgres_exporter中配置认证模块
2. 在认证模块中明确设置SSL参数
3. 保持原有的多目标采集配置

认证模块配置示例（需根据实际情况调整）：

auth_modules:
  default:
    username: postgres
    password: password
    sslmode: disable

深入理解

PostgreSQL的连接安全机制较为复杂，postgres_exporter提供了多种方式来适应不同的部署场景：

1. 标准模式：适合监控单个PostgreSQL实例，配置简单直接
2. 多目标模式：适合监控多个PostgreSQL实例，但需要额外配置认证模块

SSL相关参数包括：

• sslmode：控制SSL行为，常用值有disable、allow、prefer、require等
• sslrootcert：CA证书路径
• sslkey：客户端密钥路径
• sslcert：客户端证书路径

最佳实践建议

1. 对于简单场景，优先考虑使用标准连接模式
2. 生产环境建议启用SSL加密连接
3. 多目标模式下务必配置认证模块
4. 测试连接时，可先使用psql命令行工具验证连接参数是否正确
5. 注意Docker环境中网络配置，确保容器间通信正常

通过正确理解postgres_exporter的工作模式和PostgreSQL的连接机制，可以避免这类SSL配置问题，确保监控系统稳定运行。