PostgreSQL集群中通过PgBouncer启用SSL连接的配置指南

在PostgreSQL数据库集群的实际部署中，PgBouncer作为连接池组件被广泛使用。本文将以一个实际案例为基础，详细介绍如何在PostgreSQL集群环境中配置PgBouncer以支持SSL/TLS加密连接。

问题背景

在标准的PostgreSQL集群部署中，数据库节点本身已经正确配置了SSL加密，客户端可以直接通过5432端口建立安全连接。然而，当通过PgBouncer（通常监听5000端口）进行连接时，客户端却收到了"server does not support SSL"的错误提示。这表明PgBouncer默认并未启用SSL支持，导致加密连接无法建立。

解决方案

要使PgBouncer支持SSL连接，需要在PgBouncer的配置文件/etc/pgbouncer/pgbouncer.ini中添加以下关键配置项：

client_tls_sslmode = allow
client_tls_key_file = /path/to/ssl/key
client_tls_cert_file = /path/to/ssl/cert

其中：

• client_tls_sslmode参数控制SSL模式，可设置为allow/require/verify-ca/verify-full等
• client_tls_key_file指定SSL私钥文件路径
• client_tls_cert_file指定SSL证书文件路径

配置详解

SSL模式选项

PgBouncer支持多种SSL验证级别，通过client_tls_sslmode参数控制：

1. disable：完全禁用SSL
2. allow：客户端可以选择使用或不使用SSL
3. prefer：优先尝试SSL，失败则使用非加密连接
4. require：强制要求SSL连接
5. verify-ca：要求SSL并验证CA证书
6. verify-full：最严格模式，验证CA和主机名

证书配置

证书和密钥文件需要满足以下要求：

• 私钥文件必须保持安全，建议权限设置为600
• 证书文件应包含完整的证书链
• 文件路径必须对PgBouncer进程可读

自动化部署建议

对于使用自动化工具（如Ansible）管理PostgreSQL集群的环境，建议将SSL配置参数纳入配置管理系统。可以设计以下变量结构：

pgbouncer_ssl_enabled: true
pgbouncer_ssl_mode: "require"
pgbouncer_ssl_key: "/etc/ssl/private/pgbouncer.key"
pgbouncer_ssl_cert: "/etc/ssl/certs/pgbouncer.crt"

最佳实践

1. 生产环境建议至少使用require模式
2. 定期轮换SSL证书和密钥
3. 监控证书过期时间
4. 在PgBouncer和PostgreSQL两端都启用SSL以获得端到端加密
5. 考虑使用证书吊销列表(CRL)或OCSP进行更严格的验证

验证方法

配置完成后，可通过以下命令验证SSL连接是否正常工作：

PGSSLMODE=require psql --host pgbouncer_host --port 5000 --user dbuser --dbname testdb

成功连接且执行\conninfo命令显示SSL加密状态即表示配置正确。

通过以上配置，可以在保持PgBouncer连接池优势的同时，确保客户端连接的加密安全，满足企业级安全合规要求。