Блог

Возможно ли завершить работу SSL в AWS ELB перед сервером Postgres, чтобы выполнить следующую команду успешно?

 PGSSLMODE=verify-full 
PGSSLROOTCERT=/path/to/go-daddy-root-ca.pem 
PGCONNECT_TIMEOUT=5 
psql -h my-postgres.example.com -p 5432 -U test_username test-database -c 'select 1';
  

Я могу использовать протокол TCP в подсистеме балансировки нагрузки и TCP в протоколе экземпляра, если я установлю свой ssl-сертификат и ключ в службе Postgres со следующими аргументами:

 -c
ssl=on
-c
ssl_cert_file=/var/lib/postgresql/my-postgres.example.com.crt
-c
ssl_key_file=/var/lib/postgresql/my-postgres.example.com.key
  

Однако я хотел бы обрабатывать SSL на уровне балансировщика нагрузки, если это возможно, чтобы не передавать сертификаты и ключи в экземпляр, на котором запущена служба postgres. Я пробовал следующие конфигурации ELB:

LB Proto, экземпляр Proto, Postres SSL, успешный / неудачный
TCP, TCP, включен, успешный
SSL, TCP, включен, сбой
TCP, SSL, включен, сбой
SSL, SSL, включен, сбой
SSL, TCP, выключен, сбой

Сообщение об ошибке выглядит следующим образом:

 psql: error: could not connect to server: server closed the connection unexpectedly
    This probably means the server terminated abnormally
    before or while processing the request.
  

Может быть, сработает NLB, возможно, завершение сквозного SSL на уровне обслуживания Postgres — единственный способ verify-full добиться успеха?

Если это помогает для альтернативного подхода, postgres работает в кластере EKS.

Спасибо за любую информацию, которую вы можете предоставить!

Мы используем NLB перед базой данных RDS postgres. К сожалению, он просто «проксирует» запросы без завершения SSL там — NLB настроен на TCP-порт 5432. Вы смотрели на относительно новый прокси-сервер AWS RDS — согласно документам, он должен быть способен выполнять завершение SSL, в чем я не уверен, так это в том, можете ли вы использовать его без RDS. Другой способ — это, конечно, настроить этот прокси самостоятельно, со всеми преимуществами и недостатками этого решения.