Dev Solve

中文

English
日本語

中文

English
日本語

Appearance

相关文章

修复 PostgreSQL 15 中“public 模式权限被拒绝”错误

Spring Boot 3.3.0 中 Flyway 连接 PostgreSQL 16 的兼容问题解决

pg_dump导出SQL无法导入旧版PostgreSQL的解决方法

Flyway 不支持 PostgreSQL 17 的解决方法

RDS PostgreSQL连接错误:pg_hba.conf问题解决

问题描述

当连接至AWS RDS托管的PostgreSQL数据库时,常会遇到错误:
no pg_hba.conf entry for host 'X.X.X.X', user 'username', database 'dbname', no encryption

此错误表明:

  1. 服务器拒绝了来自指定IP的客户端连接请求
  2. 数据库服务器配置(pg_hba.conf)中没有匹配的访问规则
  3. 即使已配置安全组和正确IP,错误仍然存在

错误核心原因:
✅ AWS RDS默认强制SSL加密连接
✅ 客户端未正确配置SSL或使用非安全连接

解决方案

▍ 方案1:客户端启用SSL(推荐)

在连接字符串中添加sslmode参数:

bash
psql "postgresql://${DB_USER}:${DB_PASS}@${DB_HOST}/${DB_NAME}?sslmode=require"
javascript
const pool = new Pool({
  user: 'user',
  host: 'host.rds.amazonaws.com',
  database: 'dbname',
  password: 'password',
  port: 5432,
  ssl: { 
    require: true,
    rejectUnauthorized: true,
    ca: fs.readFileSync('/path/to/rds-ca-cert.pem').toString()
  }
});
java
jdbc:postgresql://<host>/<db_name>?sslmode=prefer

SSL模式说明

  • require:强制SSL加密,不验证证书
  • verify-ca:强制SSL且验证CA证书
  • prefer:优先尝试SSL,失败则使用非加密

▍ 方案2:配置CA证书(生产推荐)

  1. 下载对应区域的RDS CA证书:
    AWS官方证书下载
  2. 放置证书到项目目录(如 /certs/rds-ca.pem
  3. 在代码中引用证书路径:
    javascript
    ssl: {
  ca: fs.readFileSync(__dirname + '/certs/rds-ca.pem')
}

安全警告

仅当无法配置SSL时使用下方案,避免生产环境禁用加密

▍ 方案3:禁用RDS强制SSL(临时方案)

  1. 创建新参数组:
    RDS控制台 → 参数组 → 创建(选postgres15家族)
  2. 修改参数 rds.force_ssl = 0
  3. 关联参数组到RDS实例
  4. 重启RDS实例生效

▍ 方案4:AWS证书信任链配置

bash
# 将证书复制到系统目录
sudo cp rds-ca-cert.pem /usr/share/ca-certificates

# 添加证书路径到配置
sudo sh -c 'echo "rds-ca-cert.pem" >> /etc/ca-certificates.conf'

# 更新证书存储
sudo update-ca-certificates

其他可能原因排查

▍ 密码轮转问题

  • 症状:使用Secrets Manager时,密码轮转导致短暂鉴权失败
  • 解决方案:
    1. 在AWS控制台检查最新密码
    2. 重启RDS实例强制同步新密码

▍ 客户端特定问题

工具/环境解决方案
AWS Glue 2.0添加--extra-jars s3://path/to/postgresql-42.6.2.jar
Beekeeper GUI开启"Enable SSL"选项
用户名错误检查AWS控制台的"Master username"
Terraform管理确认manage_master_user_password=false

▍ EC2直接连接配置

  1. RDS控制台 → 数据库实例
  2. 操作 → 设置EC2连接

最佳实践建议

  1. 生产环境必做
    • 使用verify-ca模式 + RDS CA证书
    • 禁止使用ssl: { rejectUnauthorized: false }(此配置不安全)
  2. 连接测试顺序:
  3. CDK自动化配置示例:
    typescript
    new DatabaseInstance(this, 'db', {
  engine: DatabaseInstanceEngine.postgres({ version: PostgresEngineVersion.VER_15 }),
  parameterGroup: new ParameterGroup(this, 'params', {
    engine: DatabaseInstanceEngine.postgres({/*...*/}),
    parameters: { "rds.force_ssl": "1" } // 保持强制SSL
  })
})

安全警告

长期禁用SSL(rds.force_ssl=0)会使数据传输暴露在风险中,仅作为临时调试手段使用