Скажите, пожалуйста, как мне подключиться из Managed Service for PostgreSQL

к моему серверу с базой по SSL (для репликации)?
Сертификаты и CA на моей базе самоподписанные, следовательно в строке подключения надо указывать путь к client-cert, client-key, root.cert. А так как в Яндексе, как я понимаю, нет возможности достучаться до инстанса по ssh, я не могу подсунуть эти сертификаты для проверки.

А значит при включении подписки я не могу включить sslmode=verify-ca или require:
CREATE SUBSCRIPTION sub CONNECTION 'host myhost port... user... sslmode=verify-ca dbname=' PUBLICATION pub;

Есть какой-то выход из ситуации, чтобы данные по сети не шли clear text'ом?

6 ответов

23 просмотра

В настройках кластера нет этих поднастроек?

X- Автор вопроса
Leonid
В настройках кластера нет этих поднастроек?

Я не нашёл в доках и в интерфейсе. Кстати, для будущих поисков по группе. Включённый sslmode=require не работает с реальными сертификатами потому как у яндекса подключается рутовый сертификат (sslrootcert) и надо его отключить так: sslrootcert="". Таким макаром можно подключиться по зашифрованному каналу, но ничего выше require включить все равно не удаётся (для verify-full нужно подключить рутовый сертификат центра сертификации, что яндекс вроде как не позволяет).

https://cloud.yandex.ru/services/data-transfer Посмотрите в эту сторону

В случае самоподписанного сертификата только sslmode=prefer передавать (по умолчанию). Оно откроет соединение с шифрованием, но да, это потенциально уязвимо к MITM.

X
Я не нашёл в доках и в интерфейсе. Кстати, для б...

Под реальными сертификатами имеются ввиду сертификаты, выписанные в CA, которым весь мир доверяет? Вроде Let’s Encrypt? Выглядит как проблема. Спасибо, подумаем, что тут можно сделать.

X- Автор вопроса
Vladimir Borodin
Под реальными сертификатами имеются ввиду сертифик...

Да, все верно, как раз сертификат от Let's Encrypt

Похожие вопросы

Обсуждают сегодня

Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Объясните, пожалуйста, почему компилятор ругается на использование в условии неинициализированной переменной: int x; Task.Run(async () => { x = await somefunc(); }).Wait...
Александр
5
Ребят, подскажите, пожалуйста, почему в префиксе к ассетам, которые генерируются через фильтр | theme в шаблоне, стал вдруг появляться index.php? Вот так выглядит ссылка на а...
Виталий
1
Всем привет. Ребята, подскажите, пожалуйста. у ботов есть ограничение на отправку сообщений - 30 сообщений в секунду, эти ограничения накладываются на все сообщения? или на со...
Artem Stormageddon
4
1. https://www.kaggle.com/code/ahmadrezagholami2001/housing-estimation-linear-regression 2. https://www.kaggle.com/code/ahmadrezagholami2001/uncovering-quality-in-wines-logis...
Ahmadreza
1
Блин, ребята, сори за тупые вопросы. А можно ли как-то открыть вебапку по нажатию на кнопку в меню(которое появляется слева, команды)?
Artem Stormageddon
3
а плаксы из-под питона умеют только в комфортных условиях что-то выдавить из себя?)
Lencore
9
Но, может, есть уже проверенная? Наши требования такие: 1. Сообщения должны приходить из Инста в CRM оду 2. Должна быть возможность подключить несколько экаунтов Инстаграм. Р...
Alexander Sharoiko MSE / Александр Шаройко
13
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
Карта сайта