Подключение к базе данных в кластере PostgreSQL
К хостам кластера Managed Service for PostgreSQL можно подключиться:
- Через интернет, если вы настроили публичный доступ для нужного хоста. К таким хостам подключиться можно только используя SSL-соединение.
- С виртуальных машин Yandex.Cloud, расположенных в той же облачной сети. Если к хосту нет публичного доступа, для подключения с таких виртуальных машин необязательно использовать SSL-соединение.
Примечание
Если публичный доступ в вашем кластере настроен только для некоторых хостов, автоматическая смена мастера может привести к невозможности подключиться к мастеру из интернета.
Настройка групп безопасности
Группы безопасности могут препятствовать подключению к кластеру. В этом случае внесите изменения в правила групп.
Настройки правил будут различаться в зависимости от выбранного способа подключения:
Настройте все группы безопасности кластера так, чтобы они разрешали входящий трафик с любых IP-адресов на порт 6432. Для этого создайте следующее правило для входящего трафика:
- протокол:
TCP; - диапазон портов:
6432; - тип источника:
CIDR; - источник:
0.0.0.0/0.
-
Настройте все группы безопасности кластера так, чтобы они разрешали входящий трафик из группы безопасности, в которой находится ВМ, на порт 6432. Для этого в этих группах создайте следующее правило для входящего трафика:
- протокол:
TCP; - диапазон портов:
6432; - тип источника:
Группа безопасности; - источник: группа безопасности, в которой находится ВМ. Если она совпадает с настраиваемой группой, то укажите Текущая.
- протокол:
-
Настройте группу безопасности, в которой находится ВМ так, чтобы можно было подключаться к ВМ и был разрешен трафик между ВМ и хостами кластера.
Пример правил для ВМ:
-
Для входящего трафика:
- протокол:
TCP; - диапазон портов:
22; - тип источника:
CIDR; - источник:
0.0.0.0/0.
Это правило позволяет подключаться к ВМ по протоколу SSH.
- протокол:
-
Для исходящего трафика:
- протокол:
Any; - диапазон портов:
0-65535; - тип назначения:
CIDR; - назначение:
0.0.0.0/0.
Это правило разрешает любой исходящий трафик, что позволяет не только подключаться к кластеру, но и устанавливать сертификаты и утилиты, необходимые для подключения к кластеру.
- протокол:
-
Примечание
Вы можете задать более детальные правила для групп безопасности, например, разрешающие трафик только в определенных подсетях.
Группы безопасности должны быть корректно настроены для всех подсетей, в которых будут размещены хосты кластера. При неполных или некорректных настройках групп безопасности можно потерять доступ к кластеру, если произойдет ручная или автоматическая смена мастера.
Подробнее о группах безопасности см. в разделе Группы безопасности.
Автоматический выбор хоста-мастера
С библиотекой libpq
Чтобы гарантированно подключиться к хосту-мастеру, укажите FQDN всех хостов кластера в аргументе host и передайте параметр target_session_attrs=read-write, как в сделано в большинстве примеров ниже. Этот параметр поддерживается библиотекой libpq начиная с версии 10.
Чтобы обновить версию библиотеки, которую использует утилита psql:
- Для дистрибутивов Linux на основе Debian — установите пакет
postgresql-client-10или новее (например, через apt-репозиторий). - Для ОС, использующих RPM-пакеты, дистрибутив PostgreSQL доступен в yum-репозитории.
С драйвером, поддерживающим только один хост
Если ваш драйвер для подключения к базе данных не позволяет передавать несколько хостов в строке подключения (например, pg в Node.js), используйте для подключения к кластеру особый FQDN, который указывает на хост-мастер.
Получение SSL-сертификата
PostgreSQL-хосты с публичным доступом поддерживают только шифрованные соединения. Чтобы использовать их, получите SSL-сертификат:
mkdir ~/.postgresql && \
wget "https://storage.yandexcloud.net/cloud-certs/CA.pem" -O ~/.postgresql/root.crt && \
chmod 0600 ~/.postgresql/root.crt
mkdir $HOME\AppData\Roaming\postgresql; curl.exe -o $HOME\AppData\Roaming\postgresql\root.crt https://storage.yandexcloud.net/cloud-certs/CA.pem
Для использования графических IDE скачайте сертификат и укажите путь к нему в настройках подключения.
Подключение из графических IDE
Подключения проверялись в следующем окружении:
- MacOS Big Sur 11.3:
- JetBrains DataGrip:
2021.1. - DBeaver Community:
21.0.5.
- JetBrains DataGrip:
- Windows 10 Pro 21H1 с SQL Server Management Studio
18.9.1.
Подключаться из графических IDE можно только к хостам кластера в публичном доступе с использованием SSL-сертификата. Перед подключением подготовьте сертификат.
- Создайте источник данных:
- Выберите в меню File → New → Data Source → PostgreSQL.
- Укажите параметры подключения на вкладке General:
-
User, Password — имя и пароль пользователя БД;
-
URL — строка подключения:
jdbc:postgresql://<хост 1 PostgreSQL:6432>,...,<хост N PostgreSQL:6432>/<имя БД>Также в строке подключения можно использовать особые FQDN:
jdbc:postgresql://<особый FQDN:6432>/<имя БД> -
Нажмите ссылку Download, чтобы загрузить драйвер соединения.
-
- На вкладке SSH/SSL:
- Включите настройку Use SSL.
- В поле CA file укажите путь к файлу SSL-сертификата для подключения.
- Нажмите ссылку Test Connection для проверки подключения. При успешном подключении будет выведен статус подключения, информация о СУБД и драйвере.
- Нажмите кнопку OK, чтобы сохранить источник данных.
- Создайте новое соединение с БД:
- Выберите в меню База данных пункт Новое соединение.
- Выберите из списка БД PostgreSQL.
- Нажмите кнопку Далее.
- Укажите параметры подключения на вкладке Главное:
- Хост — FQDN хоста или один из особых FQDN;
- Порт —
6432; - База данных — имя БД для подключения;
- В блоке Аутентификация укажите имя и пароль пользователя БД.
- На вкладке SSL:
- Включите настройку Использовать SSL.
- В поле Корневой сертификат укажите путь к файлу SSL-сертификата для подключения.
- Нажмите кнопку Тест соединения ... для проверки подключения. При успешном подключении будет выведен статус подключения, информация о СУБД и драйвере.
- Нажмите кнопку Готово, чтобы сохранить настройки соединения с БД.
Примеры строк подключения
Примеры проверялись в следующем окружении:
- Виртуальная машина в Yandex.Cloud c Ubuntu 20.04 LTS:
- Bash:
5.0.16. - Python:
3.8.2; pip3:20.0.2. - PHP:
7.4.3. - OpenJDK:
11.0.8; Maven:3.6.3. - Node.JS:
10.19.0, npm:6.14.4. - Go:
1.13.8. - Ruby:
2.7.0p0. - unixODBC:
2.3.6.
- Bash:
- Виртуальная машина в Yandex.Cloud c Windows Server 2019 Datacenter:
- PostgreSQL:
13. - PowerShell:
5.1.17763.1490 Desktop.
- PostgreSQL:
Подключиться к PostgreSQL-хостам в публичном доступе можно только с использованием SSL-сертификата. Перед подключением к таким хостам подготовьте сертификат.
В примерах ниже предполагается, что SSL-сертификат root.crt расположен в директории:
/home/<домашняя директория>/.postgresql/для Ubuntu;$HOME\AppData\Roaming\postgresqlдля Windows.
Подключение без использования SSL-сертификата поддерживается только для хостов, находящихся не в публичном доступе. В этом случае трафик внутри облачной сети при подключении к БД шифроваться не будет.
Подключиться к кластеру возможно как с использованием обычных FQDN хостов (можно передавать список из нескольких таких FQDN, разделенных запятой), так и особых FQDN.
Пример команды с заполненным FQDN хоста доступен в консоли управления по нажатию кнопки Подключиться на странице кластера.
Bash
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y postgresql-client
-
Подключитесь к базе данных:
psql "host=<FQDN одного или нескольких хостов PostgreSQL> \ port=6432 \ sslmode=disable \ dbname=<имя БД> \ user=<имя пользователя> \ target_session_attrs=read-write"После выполнения команды введите пароль пользователя для завершения процедуры подключения.
-
Для проверки успешности подключения выполните запрос:
SELECT version();
-
Подключитесь к базе данных:
psql "host=<FQDN одного или нескольких хостов PostgreSQL> \ port=6432 \ sslmode=verify-full \ dbname=<имя БД> \ user=<имя пользователя> \ target_session_attrs=read-write"После выполнения команды введите пароль пользователя для завершения процедуры подключения.
-
Для проверки успешности подключения выполните запрос:
SELECT version();
C# EfCore
Перед подключением установите зависимости:
Install-Package Npgsql.EntityFrameworkCore.PostgreSQL
Пример настроек в файле appsettings.json:
...
"ConnectionStrings": {
"Default": "Server=<FQDN одного или нескольких хостов PostgreSQL>;Database=<имя БД>;Port=6432;User Id=<имя пользователя>;Password=<пароль пользователя>;Ssl Mode=Require; Trust Server Certificate=true;"
},
...
Go
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y golang git && \
go mod init example && go get github.com/jackc/pgx/v4
-
Пример кода:
connect.gopackage main import ( "context" "fmt" "os" "github.com/jackc/pgx/v4" ) const ( host = "<FQDN одного или нескольких хостов PostgreSQL>" port = 6432 user = "<имя пользователя>" password = "<пароль пользователя>" dbname = "<имя БД>" ) func main() { connstring := fmt.Sprintf( "host=%s port=%d dbname=%s user=%s password=%s target_session_attrs=read-write", host, port, dbname, user, password) connConfig, err := pgx.ParseConfig(connstring) if err != nil { fmt.Fprintf(os.Stderr, "Unable to parse config: %v\n", err) os.Exit(1) } conn, err := pgx.ConnectConfig(context.Background(), connConfig) if err != nil { fmt.Fprintf(os.Stderr, "Unable to connect to database: %v\n", err) os.Exit(1) } defer conn.Close(context.Background()) var version string err = conn.QueryRow(context.Background(), "select version()").Scan(&version) if err != nil { fmt.Fprintf(os.Stderr, "QueryRow failed: %v\n", err) os.Exit(1) } fmt.Println(version) } -
Подключение:
go run connect.go
-
Пример кода:
connect.gopackage main import ( "context" "crypto/tls" "crypto/x509" "fmt" "io/ioutil" "os" "github.com/jackc/pgx/v4" ) const ( host = "<FQDN одного или нескольких хостов PostgreSQL>" port = 6432 user = "<имя пользователя>" password = "<пароль пользователя>" dbname = "<имя БД>" ca = "/home/<домашняя директория>/.postgresql/root.crt" ) func main() { rootCertPool := x509.NewCertPool() pem, err := ioutil.ReadFile(ca) if err != nil { panic(err) } if ok := rootCertPool.AppendCertsFromPEM(pem); !ok { panic("Failed to append PEM.") } connstring := fmt.Sprintf( "host=%s port=%d dbname=%s user=%s password=%s sslmode=verify-full target_session_attrs=read-write", host, port, dbname, user, password) connConfig, err := pgx.ParseConfig(connstring) if err != nil { fmt.Fprintf(os.Stderr, "Unable to parse config: %v\n", err) os.Exit(1) } connConfig.TLSConfig = &tls.Config{ RootCAs: rootCertPool, InsecureSkipVerify: true, } conn, err := pgx.ConnectConfig(context.Background(), connConfig) if err != nil { fmt.Fprintf(os.Stderr, "Unable to connect to database: %v\n", err) os.Exit(1) } defer conn.Close(context.Background()) var version string err = conn.QueryRow(context.Background(), "select version()").Scan(&version) if err != nil { fmt.Fprintf(os.Stderr, "QueryRow failed: %v\n", err) os.Exit(1) } fmt.Println(version) }При этом способе подключения в коде необходимо указывать полный путь к сертификату
root.crtдля PostgreSQL в переменнойca. -
Подключение:
go run connect.go
Java
Перед подключением:
-
Установите зависимости:
sudo apt update && sudo apt install -y default-jdk maven -
Создайте директорию для проекта Maven:
cd ~/ && mkdir -p project/src/java/com/example && cd project/ -
Создайте конфигурационный файл для Maven:
pom.xml<?xml version="1.0" encoding="utf-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.example</groupId> <artifactId>app</artifactId> <packaging>jar</packaging> <version>0.1.0</version> <properties> <maven.compiler.source>1.8</maven.compiler.source> <maven.compiler.target>1.8</maven.compiler.target> </properties> <dependencies> <dependency> <groupId>org.postgresql</groupId> <artifactId>postgresql</artifactId> <version>42.2.16</version> </dependency> </dependencies> <build> <finalName>${project.artifactId}-${project.version}</finalName> <sourceDirectory>src</sourceDirectory> <resources> <resource> <directory>src</directory> </resource> </resources> <plugins> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-assembly-plugin</artifactId> <executions> <execution> <goals> <goal>attached</goal> </goals> <phase>package</phase> <configuration> <descriptorRefs> <descriptorRef> jar-with-dependencies</descriptorRef> </descriptorRefs> <archive> <manifest> <mainClass>com.example.App</mainClass> </manifest> </archive> </configuration> </execution> </executions> </plugin> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-jar-plugin</artifactId> <version>3.1.0</version> <configuration> <archive> <manifest> <mainClass>com.example.App</mainClass> </manifest> </archive> </configuration> </plugin> </plugins> </build> </project>Актуальная версия зависимости для Maven: postgresql.
-
Пример кода:
src/java/com/example/App.javapackage com.example; import java.sql.*; public class App { public static void main(String[] args) { String DB_URL = "jdbc:postgresql://<хост 1 PostgreSQL:6432,...,хост N PostgreSQL:6432>/<имя БД>& targetServerType=master&ssl=true& sslmode=disable"; String DB_USER = "<имя пользователя>"; String DB_PASS = "<пароль пользователя>"; try { Class.forName("org.postgresql.Driver"); Connection conn = DriverManager.getConnection(DB_URL, DB_USER, DB_PASS); ResultSet q = conn.createStatement().executeQuery("SELECT version()"); if(q.next()) {System.out.println(q.getString(1));} conn.close(); } catch(Exception ex) {ex.printStackTrace();} } } -
Сборка и подключение:
mvn clean package && \ java -jar target/app-0.1.0-jar-with-dependencies.jar
-
Пример кода:
src/java/com/example/App.javapackage com.example; import java.sql.*; public class App { public static void main(String[] args) { String DB_URL = "jdbc:postgresql://<хост 1 PostgreSQL:6432,...,хост N PostgreSQL:6432>/<имя БД>& targetServerType=master&ssl=true& sslmode=verify-full"; String DB_USER = "<имя пользователя>"; String DB_PASS = "<пароль пользователя>"; try { Class.forName("org.postgresql.Driver"); Connection conn = DriverManager.getConnection(DB_URL, DB_USER, DB_PASS); ResultSet q = conn.createStatement().executeQuery("SELECT version()"); if(q.next()) {System.out.println(q.getString(1));} conn.close(); } catch(Exception ex) {ex.printStackTrace();} } } -
Сборка и подключение:
mvn clean package && \ java -jar target/app-0.1.0-jar-with-dependencies.jar
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y nodejs npm && \
npm install pg
app.js
"use strict";
const pg = require("pg");
const config = {
connectionString:
"postgres://<имя пользователя>:<пароль пользователя>@c-<идентификатор кластера>.rw.mdb. yandexcloud.net:6432/<имя БД>"
};
const conn = new pg.Client(config);
conn.connect((err) => {
if (err) throw err;
});
conn.query("SELECT version()", (err, q) => {
if (err) throw err;
console.log(q.rows[0]);
conn.end();
});
app.js
"use strict";
const fs = require("fs");
const pg = require("pg");
const config = {
connectionString:
"postgres://<имя пользователя>:<пароль пользователя>@c-<идентификатор кластера>.rw.mdb.yandexcloud.net:6432/<имя БД>",
ssl: {
rejectUnauthorized: true,
ca: fs
.readFileSync("/home/<домашняя директория>/.postgresql/root.crt")
.toString(),
},
};
const conn = new pg.Client(config);
conn.connect((err) => {
if (err) throw err;
});
conn.query("SELECT version()", (err, q) => {
if (err) throw err;
console.log(q.rows[0]);
conn.end();
});
При этом способе подключения в коде необходимо указывать полный путь к сертификату root.crt для PostgreSQL в переменной ca.
Идентификатор кластера можно получить со списком кластеров.
Подключение:
node app.js
ODBC
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y unixodbc odbc-postgresql
Драйвер PostgreSQL ODBC будет автоматически зарегистрирован в файле /etc/odbcinst.ini.
-
Пример кода:
/etc/odbc.ini[postgresql] Driver=PostgreSQL Unicode Servername=<хост 1 PostgreSQL>,...,<хост N PostgreSQL> Username=<имя пользователя> Password=<пароль пользователя> Database=<имя БД> Port=6432 Pqopt=target_session_attrs=read-write -
Подключение:
isql -v postgresqlПосле подключения к СУБД выполните команду
SELECT version();.
-
Пример кода:
/etc/odbc.ini[postgresql] Driver=PostgreSQL Unicode Servername=<хост 1 PostgreSQL>,...,<хост N PostgreSQL> Username=<имя пользователя> Password=<пароль пользователя> Database=<имя БД> Port=6432 Pqopt=target_session_attrs=read-write Sslmode= verify-full -
Подключение:
isql -v postgresqlПосле подключения к СУБД выполните команду
SELECT version();.
PHP
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y php php-pgsql
-
Пример кода:
connect.php<?php $conn = pg_connect(" host=<FQDN одного или нескольких хостов PostgreSQL> port=6432 sslmode=disable dbname=<имя БД> user=<имя пользователя> password=<пароль пользователя> target_session_attrs=read-write "); $q = pg_query($conn, "SELECT version()"); $result = pg_fetch_row($q); echo $result[0]; pg_close($conn); ?> -
Подключение:
php connect.php
-
Пример кода:
connect.php<?php $conn = pg_connect(" host=<FQDN одного или нескольких хостов PostgreSQL> port=6432 sslmode=verify-full dbname=<имя БД> user=<имя пользователя> password=<пароль пользователя> target_session_attrs=read-write "); $q = pg_query($conn, "SELECT version()"); $result = pg_fetch_row($q); echo $result[0]; pg_close($conn); ?> -
Подключение:
php connect.php
PowerShell
Перед подключением установите PostgreSQL для Windows той же версии, которая используется в кластере. Выберите только установку Command Line Tools.
-
Установите переменные окружения для подключения:
$Env:PGSSLMODE="disable"; $Env:PGTARGETSESSIONATTRS="read-write" -
Подключитесь к базе данных:
& 'C:\Program Files\PostgreSQL\<версия>\bin\psql.exe' ` -h <FQDN одного или нескольких хостов PostgreSQL> ` -p 6432 ` -U <имя пользователя> ` <имя БД>После выполнения команды введите пароль пользователя для завершения процедуры подключения.
-
Для проверки успешности подключения выполните запрос:
SELECT version();
-
Установите переменные окружения для подключения:
$Env:PGSSLMODE="verify-full"; $Env:PGTARGETSESSIONATTRS="read-write" -
Подключитесь к базе данных:
& 'C:\Program Files\PostgreSQL\<версия>\bin\psql.exe' ` -h <FQDN одного или нескольких хостов PostgreSQL> ` -p 6432 ` -U <имя пользователя> ` <имя БД>После выполнения команды введите пароль пользователя для завершения процедуры подключения.
-
Для проверки успешности подключения выполните запрос:
SELECT version();
Python
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y python3 python3-pip && \
pip3 install psycopg2-binary
-
Пример кода:
connect.pyimport psycopg2 conn = psycopg2.connect(""" host=<FQDN одного или нескольких хостов PostgreSQL> port=6432 sslmode=disable dbname=<имя БД> user=<имя пользователя> password=<пароль пользователя> target_session_attrs=read-write """) q = conn.cursor() q.execute('SELECT version()') print(q.fetchone()) conn.close() -
Подключение:
python3 connect.py
-
Пример кода:
connect.pyimport psycopg2 conn = psycopg2.connect(""" host=<FQDN одного или нескольких хостов PostgreSQL> port=6432 sslmode=verify-full dbname=<имя БД> user=<имя пользователя> password=<пароль пользователя> target_session_attrs=read-write """) q = conn.cursor() q.execute('SELECT version()') print(q.fetchone()) conn.close() -
Подключение:
python3 connect.py
Ruby
Перед подключением установите зависимости:
sudo apt update && sudo apt install -y ruby ruby-pg
-
Пример кода:
connect.rbrequire "pg" conn = PG.connect(" host=<FQDN одного или нескольких хостов PostgreSQL> port=6432 dbname=<имя БД> user=<имя пользователя> password=<пароль пользователя> target_session_attrs=read-write sslmode=disable ") q = conn.exec("SELECT version()") puts q.getvalue 0, 0 conn.close() -
Подключение:
ruby connect.rb
-
Пример кода:
connect.rbrequire "pg" conn = PG.connect(" host=<FQDN одного или нескольких хостов PostgreSQL> port=6432 dbname=<имя БД> user=<имя пользователя> password=<пароль пользователя> target_session_attrs=read-write sslmode=verify-full ") q = conn.exec("SELECT version()") puts q.getvalue 0, 0 conn.close() -
Подключение:
ruby connect.rb
При успешном подключении к кластеру и выполнении тестового запроса будет выведена версия PostgreSQL.
Особые FQDN
Наравне с обычными FQDN, которые можно запросить со списком хостов в кластере, Managed Service for PostgreSQL предоставляет несколько особых FQDN, которые также можно использовать при подключении к кластеру.
Текущий мастер
FQDN вида c-<идентификатор кластера>.rw.mdb.yandexcloud.net всегда указывает на текущий хост-мастер в кластере. Идентификатор кластера можно запросить со списком кластеров в каталоге.
При подключении к этому FQDN разрешено выполнять операции чтения и записи.
Пример подключения к хосту-мастеру для кластера с идентификатором c9qash3nb1v9ulc8j9nm:
psql "host=c-c9qash3nb1v9ulc8j9nm.rw.mdb.yandexcloud.net \
port=6432 \
sslmode=verify-full \
dbname=<имя БД> \
user=<имя пользователя> \
target_session_attrs=read-write"
Наименее отстающая реплика
FQDN вида c-<идентификатор кластера>.ro.mdb.yandexcloud.net указывает на наименее отстающую от мастера реплику. Идентификатор кластера можно запросить со списком кластеров в каталоге.
Особенности:
- При подключении к этому FQDN разрешено выполнять только операции чтения.
- Если в кластере нет активных реплик, то подключиться к этому FQDN невозможно: соответствующая CNAME-запись в DNS будет указывать «в никуда» (
null).
Пример подключения к наименее отстающей реплике для кластера с идентификатором c9qash3nb1v9ulc8j9nm:
psql "host=c-c9qash3nb1v9ulc8j9nm.ro.mdb.yandexcloud.net \
port=6432 \
sslmode=verify-full \
dbname=<имя БД> \
user=<имя пользователя> \
target_session_attrs=any"