Вы можете использовать клиент PostgreSQL psql для подключения к вашему DB instance через соединение Secure Sockets Layer (SSL). SSL шифрует соединения к вашему DB instance, делая передаваемые данные более защищёнными.
SSL включён по умолчанию при создании RDS for PostgreSQL DB instance и его нельзя отключить после создания экземпляра.
Включение SSL уменьшает производительность чтения‑только и чтения/записи вашего экземпляра примерно на 20%.
Вы также можете получить доступ к вашему DB instance через Network Address Translation (NAT). Если вы настроили как NAT, так и EIP, предпочтительно используется EIP.
Prerequisites
- An EIP была привязана к целевому DB instance, и правила группы безопасности были настроены.
- Привяжите EIP к целевому DB instance.
Для получения подробностей о том, как привязать EIP, см Привязка EIP.
- Получите IP-адрес локального устройства.
- Настройте правила группы безопасности.
Добавьте полученный IP-адрес из 1.b и порт экземпляра в правило входящего трафика группы безопасности.
Для получения подробной информации о том, как настроить правила группы безопасности, см Настройка правил группы безопасности.
- Запустите ping команду для проверки связности между локальным устройством и EIP который был привязан к экземпляру DB в 1.a.
- Привяжите EIP к целевому DB instance.
- Вы установили клиент базы данных для подключения к экземплярам DB.
Для получения подробной информации см. Установка клиента PostgreSQL.
SSL соединение
- Войдите в консоль управления.
- Нажмите
в верхнем левом углу и выберите регион и проект. - Нажмите Список сервисов. Под База данных, нажмите Relational Database Service.
- Нажмите имя экземпляра БД, чтобы перейти к Основная информация странице. В Информация о БД области, нажмите
рядом с SSL поле для загрузки корневого сертификата и пакета сертификатов. - Загрузите корневой сертификат в ECS или сохраните его на устройстве, которое будет подключено к инстансу DB.
Для получения сведений о том, как импортировать корневой сертификат в Linux ECS, см. Как импортировать SSL сертификат экземпляра RDS на сервер Windows или Linux?
- Подключитесь к RDS инстансу DB. Linux OS используется в качестве примера.
psql --no-readline -h <host>-p<port>"dbname=<database>user=<user> sslmode=verify-ca sslrootcert=<ca-file-directory>"
Таблица 1 Описание параметра Параметр
Описание
<host>
EIP экземпляра БД для подключения.
<port>
Порт базы данных, используемый. Значение по умолчанию 5432. Для получения этого значения параметра перейдите к Основная информация странице экземпляра БД. Номер порта можно найти в Порт базы данных поле в Информация о подключении области.
<database>
Имя базы данных (имя базы данных по умолчанию postgres).
<user>
Имя пользователя RDS учетная запись базы данных. Администратор по умолчанию root.
<ca-file-directory>
Каталог сертификата CA для SSL‑соединения. Сертификат должен быть сохранён в каталоге, из которого выполняется команда.
sslmode
Режим SSL‑соединения. Установите его в verify-ca для использования CA, чтобы проверить, доверяется ли службе.
Введите пароль учетной записи базы данных, если отображается следующая информация:
Пароль:
Например, чтобы подключиться к экземпляру БД через SSL‑соединение как пользователь root, выполните следующую команду:
psql --no-readline -h 192.168.0.44 -p 5432 "dbname=postgres user=root sslmode=verify-ca sslrootcert=/root/ca.pem"
Пароль:
- Войдите в базу данных и проверьте, отображается ли информация, подобная следующей:SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)