Настройка пользовательских записей в pg_hba.conf

Stolon управляет записями в файле pg_hba.conf. Первые правила генерируются Stolon для разрешения локальных подключений keeper и удалённых подключений репликации, поскольку они необходимы для обеспечения правильной работы кластера.

Пользователи могут задать пользовательские записи pg_hba.conf, установив опцию pgHBA в спецификации кластера. Это должен быть список строк, содержащих дополнительные записи pg_hba.conf. Они будут добавлены к файлу pg_hba.conf, сгенерированному Stolon.

Поскольку клиентские подключения будут проходить через stolon-proxy, часть хоста в записях должна соответствовать как минимум исходным адресам stolon-прокси. По этой же причине невозможно напрямую фильтровать по клиенту. Если у вас есть клиенты, требующие разных доступов, вам следует использовать разные наборы прокси Stolon для каждого вида доступа.

ПРИМЕЧАНИЕ: эти строки не проверяются, поэтому, если некоторые из них неверны, postgres откажется запускаться или при перезагрузке зарегистрирует предупреждение и проигнорирует обновлённый файл pg_hba.conf. Stolon просто проверит, что строка не содержит символов новой строки.

По умолчанию, если пользовательские записи в pg_hba не определены (опция clusterpsec pgHBA равна нулю, а не пустому списку), для сохранения обратной совместимости Stolon добавит два правила, разрешающих TCP-подключения (как IPv4, так и IPv6) от любого хоста ко всем базам данных и именам пользователей с аутентификацией по паролю MD5:

host all all 0.0.0.0/0 md5
host all all ::0/0 md5