bitnami 的pgpool连接postgresql-ha出错SCRAM

pgpool是postgresql-ha高可靠集群的代理工具，提供了负载均衡、连接池、自动故障转移、在线恢复、复制、看门狗等功能，bitnami提供了postgresql数据库的helm的安装包，可以很容易进行postgresql高可靠k8s环境的安装，但bitnami提供的镜像安全漏洞很多，如下图：

不得不使用ubuntu 20重新进行构建镜像，费用了九牛二虎之力构建的镜像部署后，postgresql-ha可以正常启动，但pgpool无法正常启动，总报failed to authenticate with backend using SCRAM 导致pgpool总是重启，在网上也没找到这种错误的解决方法。

使用bitnami/postgresql-ha原镜像都没问题，可一换成自己构建的镜像就出这个错，不得不怀疑我构建的镜像有问题，但能有什么问题呢，测试三个节点都正常，百思不得其解。看来得深入的了解pgpool的配置的，使用SCRAM进行搜索，发现升级PostgreSQL密码到SCRAM的方法 - 墨天轮介绍SCRAM，原来postgresql客户端认证有两种方式：MD5与scram-sha-256，通过以下命令可以查看到postgresql使用哪种认证方式：

postgres=# SELECT rolname, rolpassword ~ '^SCRAM-SHA-256\$' AS has_upgraded postgres-# FROM pg_authid postgres-# WHERE rolcanlogin;rolname | has_upgraded ----------+--------------postgres | trepmgr | t (2 rows)

如果是t，说明使用scram-sha-256密码加密方式，可以进一步使用下面的命令验证一下

postgres=# select passwd from pg_shadow where usename = 'postgres';passwd ---------------------------------------------------------------------------------------------------------------------------------------SCRAM-SHA-256$4096:iAmKIA8/wN/yEXLBzxjBFA==$mS54MmmMdXnnkR8y6ZZ2zsbkOyQokTVzk0zZvSN1NSs=:SNsbmxL+dIuZkfl9+F1v9XAZwJjDB1f9/wy6rC0WG24= (1 row)

进一步证实了的确是scram-sha-256方式认证的。

再看一下bitnami/postgresql-ha镜像里的这两项参数

postgres=# SELECT rolname, rolpassword ~ '^SCRAM-SHA-256\$' AS has_upgraded postgres-# FROM pg_authid postgres-# WHERE rolcanlogin;rolname | has_upgraded ----------+--------------postgres | frepmgr | f (2 rows)

哦哦哦，这里是f，给发非scram-sha-256方式，再查查密码

postgres=# select passwd from pg_shadow where usename = 'postgres';passwd -------------------------------------md5a3556571e93b0d20722ba62be61e8c2d (1 row)

看看看，人家是用md5的。

找到这，情况比较明朗了，看来自己构建的容器没问题，安全性更高了，只是pgpool还是使用默认的方式md5，所以验证不能过，看看是不是这样，经过一翻研究，发现pgpool的密码是放在conf/pool_pass的文件里，进入容器中看看

I have no name!@postgresql-ha-pgpool-6d76b7d57b-q47bw:/opt/bitnami/pgpool/conf$ ls pgpool.conf pool_hba.conf pool_passwd I have no name!@postgresql-ha-pgpool-6d76b7d57b-q47bw:/opt/bitnami/pgpool/conf$ cat pool_passwd postgres:md5a3556571e93b0d20722ba62be61e8c2d

的确是md5方式，到此，情况明了了，可是如何让他变成scram-sha-256认证方式呢？那就看bitnami/pgpool说明文档中找吧，很可惜，没找到与scram相关的配置。难道bitnami/pgpool不支持scram认证方式吗？再用scram为关键字从bitnami/pgpool的脚本中找，果然在libpgpool.sh的脚本中找到了

 可这些代码只是校验用的，并不是改变认证方式的。没什么用啊！！！再找找，找到了

 pgpool_generate_password_file()，生成密码文件，老外代码写的就是好，脚本文件都写得很明了，看来跟PGPOOL_AUTHENTICATION_METHOD这个变量有关。找到这，基本找到解决方案了，在创建容器时，设置这个变量就好了，bitnami/pgpool没有提供直接的设置值的方法，但提供了pgpool.extraEnvVars这个设置环境变量的功能，执行helm安装时，设置这个变量就行了，执行helm install时，加上这个参数

--set pgpool.extraEnvVars\[0\].name="PGPOOL\_AUTHENTICATION\_METHOD",pgpool.extraEnvVars\[0\].value="scram\-sha\-256"

容器可以正常了启动了。再进入到pgpool容器中，看一下pool_passwd文件

I have no name!@postgresql-ha-pgpool-848bbcfcdb-rlhpn:/opt/bitnami/pgpool/conf$ cat pool_passwd postgres:AESusCdlqVhMOLDhpD6RdbWtA==

变成AES加密的了。使用客户端连接pgpool的svc，完美，一点问题没有。

总结

以上是生活随笔为你收集整理的bitnami 的pgpool连接postgresql-ha出错SCRAM的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。