Etherpad-Lite Docker 部署中PostgreSQL SSL连接配置指南

在使用Docker部署Etherpad-Lite时，当后端数据库采用云托管的PostgreSQL服务时，配置SSL加密连接是一个常见需求。本文将详细介绍如何正确配置PostgreSQL数据库连接参数，特别是SSL/TLS加密连接的设置方法。

问题背景

在标准的Docker部署中，Etherpad-Lite通常通过环境变量来配置数据库连接参数，如DB_HOST、DB_USER等。然而，当需要连接云托管的PostgreSQL服务时，往往需要启用SSL加密连接，这时简单的环境变量配置方式就显得不够灵活。

配置方法

1. 传统环境变量方式

对于SSL连接，可以通过修改settings.json配置文件来实现：

{
  "dbType": "postgres",
  "dbSettings": {
    "host": "your-db-host",
    "port": 5432,
    "user": "your-username",
    "password": "your-password",
    "database": "your-db-name",
    "ssl": true,
    "ca": "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----"
  }
}

其中ca字段应填入PostgreSQL服务器的CA证书内容。

2. 使用连接字符串方式

更灵活的方式是使用完整的PostgreSQL连接字符串(connectionString)，这种方式可以一次性指定所有连接参数：

{
  "dbType": "postgres",
  "dbSettings": {
    "connectionString": "postgres://user:password@host:port/database?ssl=true&sslmode=verify-full"
  }
}

关键点在于：

1. 必须使用connectionString而非url作为键名
2. 可以在连接字符串中直接指定SSL相关参数

Docker环境变量配置

在Docker部署时，可以通过环境变量来设置连接字符串：

docker run -d \
  -e DB_TYPE=postgres \
  -e DB_URL="postgres://user:password@host:port/database?ssl=true&sslmode=verify-full" \
  etherpad/etherpad

常见SSL模式

PostgreSQL支持多种SSL验证模式：

• disable：完全禁用SSL
• allow：尝试使用SSL，但不强制
• prefer：优先使用SSL，但不强制
• require：必须使用SSL，但不验证证书
• verify-ca：必须使用SSL，并验证服务器证书
• verify-full：最严格模式，验证服务器证书和主机名

对于生产环境，推荐至少使用verify-ca模式以确保连接安全。

注意事项

1. 当同时提供连接字符串和单独的环境变量(如DB_HOST)时，连接字符串优先级更高
2. 证书验证需要确保容器内时钟准确，否则可能导致证书验证失败
3. 在Kubernetes等容器编排环境中，可能需要将CA证书作为Secret挂载到容器中

通过以上配置，可以确保Etherpad-Lite与PostgreSQL数据库之间的通信得到适当的加密保护，满足企业级安全需求。