pgBackRest连接Hetzner存储箱的SFTP故障排查指南

问题背景

在使用pgBackRest进行PostgreSQL数据库备份时，用户遇到了SFTP连接问题。具体表现为备份过程中出现"libssh2 error [-7]"错误，提示无法列出指定路径下的文件信息。该环境配置了Hetzner存储箱作为远程备份仓库，使用SFTP协议进行数据传输。

错误分析

核心错误表现

1. 连接中断错误：错误代码-7对应LIBSSH2_ERROR_SOCKET_SEND，表明SSH连接在传输过程中被意外中断
2. 认证失败错误：后续测试中出现-19错误(LIBSSH2_ERROR_PUBLICKEY_UNVERIFIED)，提示公钥验证失败
3. SFTP操作失败：错误代码4(LIBSSH2_FX_FAILURE)表示通用SFTP操作失败

环境特点

• 使用Hetzner存储箱作为远程仓库
• 配置了非标准SFTP端口23（而非默认的22）
• 采用了RSA密钥对认证方式
• 设置了多进程并行备份(process-max=4)

深度排查过程

1. 连接稳定性问题

最初的-7错误表明网络连接不稳定。Hetzner存储箱有以下特点：

• 同时连接数限制为10个
• 端口23是重定向的SFTP端口（标准为22）
• 网络传输可能存在不稳定性

验证方法：

• 降低并行进程数测试连接稳定性
• 尝试切换至标准端口22进行对比测试

2. 认证配置问题

当切换至端口22时出现的认证失败，需要检查：

• 密钥对是否同时上传到了两个端口
• 密钥强度是否符合要求（至少2048位RSA）
• 密钥文件权限是否正确（私钥应为600权限）

3. 存储路径权限

SFTP操作失败可能源于：

• 目标路径不存在或不可写
• 目录权限配置不当
• 存储配额已满

解决方案

推荐配置方案

1. 连接参数优化：

repo2-sftp-host-port=23  # 明确指定Hetzner优化端口
process-max=4           # 控制在连接限制范围内
repo2-sftp-host-key-check-type=accept-new  # 首次连接自动接受密钥

2. 密钥管理规范：

• 使用ssh-keygen生成至少2048位的RSA密钥
• 通过官方工具安装公钥到两个端口：

cat ~/.ssh/id_rsa.pub | ssh -p23 username@host install-ssh-key

3. 目录结构准备：

• 确保目标路径存在且可写
• 推荐使用专用目录而非/home下路径

故障排除步骤

1. 基础连接测试：

sftp -P23 -i /path/to/key username@host

2. 详细日志收集：

pgbackrest --stanza=your_stanza check --log-level-console=debug

3. 逐步验证法：

• 先测试stanza-create
• 再测试archive-push
• 最后执行完整备份

经验总结

1. Hetzner存储箱的特殊性：

• 端口23是经过优化的SFTP端口
• 有严格的连接数限制
• 需要显式安装SSH密钥

2. pgBackRest最佳实践：

• 首次配置时使用最高日志级别验证
• 分阶段测试各组件功能
• 监控网络稳定性指标

3. 长期维护建议：

• 定期验证备份完整性
• 监控存储空间使用情况
• 保持密钥和权限配置的一致性

通过系统化的排查和规范的配置，可以建立稳定的pgBackRest到Hetzner存储箱的备份通道。关键在于理解服务提供商的特殊限制，并据此调整备份策略和参数配置。