Настройка SSL/TLS в PostgreSQL

Доступ к высокодоступному PostgreSQL, управляемому stolon, по протоколу SSL/TLS можно настроить обычным способом (см. официальную документацию PostgreSQL). Настройка выполняется путём определения необходимых параметров pgParameters внутри спецификации кластера. Если эта функция включена, то и репликация между экземплярами будет использовать TLS (в настоящее время она использует стандартный режим репликации «предпочитать»).

Если вы хотите включить полную проверку на стороне клиента (sslmode=verify-full в строке подключения клиента), вам следует настроить CN сертификата так, чтобы он содержал полное доменное имя или IP-адрес, который ваш клиент будет использовать для подключения к прокси-серверам stolon. В зависимости от вашей архитектуры у вас будет более одного прокси-сервера stolon за балансировщиком нагрузки, виртуальным IP-адресом keepalived, сервисом k8s и т. д. Поэтому в CN сертификата следует указать имя хоста или IP-адрес, к которому будет подключаться ваш клиент.

По указанным причинам сертификат, ключ и файлы корневого центра сертификации обычно будут одинаковыми для каждого экземпляра PostgreSQL (основного или резервного), поэтому их можно поместить в каталог PGDATA (чтобы они автоматически копировались в новые экземпляры во время повторной синхронизации) или вне его (в этом случае вы должны убедиться, что они существуют и доступны для экземпляра PostgreSQL).