Подключение PostgreSQL в Kubernetes
Проверьте совместимость версии БД
Перед началом работы убедитесь, что версия внешней базы данных PostgreSQL совпадает с версией, указанной в .Values.postgresql.image.tag
.
- Если система Test IT запущена, остановите все поды с помощью команды.
- Подготовьте внешнюю базу данных PostgreSQL для каждого из сервисов (
testitdb
,authdb
,avatarsdb
,licensedb
,backgrounddb
,globalsearchdb
):yum install postgresql-contrib psql -U postgres create database testitdb; create user tester with encrypted password 'tester'; grant all privileges on database testitdb to tester; \connect testitdb; CREATE EXTENSION if not exists "uuid-ossp" SCHEMA public; create database authdb; grant all privileges on database authdb to tester; \connect authdb; CREATE EXTENSION if not exists "uuid-ossp" SCHEMA public; create database avatarsdb; grant all privileges on database avatarsdb to tester; \connect avatarsdb; CREATE EXTENSION if not exists "uuid-ossp" SCHEMA public; create database backgrounddb; grant all privileges on database backgrounddb to tester; \connect backgrounddb; CREATE EXTENSION if not exists "uuid-ossp" SCHEMA public; create database licensedb; grant all privileges on database licensedb to tester; \connect licensedb; CREATE EXTENSION if not exists "uuid-ossp" SCHEMA public; create database globalsearchdb; grant all privileges on database globalsearchdb to tester; \connect globalsearchdb; CREATE EXTENSION if not exists "uuid-ossp" SCHEMA public; CREATE EXTENSION if not exists "pg_trgm" SCHEMA public;
- В файле
values-override.yaml
задайте хост, порт, имя пользователя, пароль и корректные имена баз данных. Все строки подключения к БД могут быть найдены поиском строкиHost=postgres
по файлуvalues.yaml
# Пример для license-service license-service: config: LICENSE_DB_CONNECTION_STRING: > Host=my-external-postgres-host; Port=5432; Database=licensedb; Username=my-username; Password=my-password; Command Timeout=30; Target Session Attributes=any;
- Примените изменения с помощью команды:
cd <installation_folder> helm -n <namespace> -f testit_unichart/values-override.yaml upgrade --install testit testit_unichart/ --wait --timeout 10m
Настройка SSL для внешних подключений
Важно
- Убедитесь, что конфигурация-SSL во внешних сервисах настроена на проверку только файла CA.crt.
- Если для внешних сервисов используются другие файлы CA.crt, убедитесь, что все они добавлены в связку. Добавьте файл ca-bundle-*.crt в директорию
testit_unichart/files/ssl/
:# Номер файла задан для примера, можно использовать и другое наименование, например ca-bundle-postgres.crt # Главное, чтобы нужные путь/название файла указывались в шаге 3 следующей секции testit_unichart/files/ssl/ca-bundle-2.crt
- Прежде чем применять изменения, описанные в данной инструкции, убедитесь, что настроены внешние подключения к соответствующим сервисам.
- Создайте SSL-сертификаты, используя доменное имя (CN) вашего сервера Postgres и файл CA.crt:
- ca.crt
- server.crt
- server.key
- Перенесите сертификаты в соответствующую папку на вашем сервере Postgres. Например:
- /var/lib/postgresql/tls/ca.crt
- /var/lib/postgresql/tls/server.crt
- /var/lib/postgresql/tls/server.key
- При запуске сервера Postgres убедитесь, что расположение сертификатов передано верно:
postgres -c 'max_connections=300' -c 'shared_buffers=256MB' -c 'ssl=on' \ -c 'ssl_ca_file=/var/lib/postgresql/tls/ca.crt' \ -c 'ssl_cert_file=/var/lib/postgresql/tls/server.crt' \ -c 'ssl_key_file=/var/lib/postgresql/tls/server.key'
- Добавьте в секцию
general.configFile
файлаvalues-override.yaml
илиvalues-ssl.yaml
путь до нового CA.crt:# testit_unichart/values-ssl.yaml или testit_unichart/values-override.yaml general: config: APPLICATION__SECURITY__TRUSTEDCERTIFICATELOCATION: "/app/certs" volumes: ## Use to enable custom certificates ssl-ca-bundle-1: fromConfigMap: ssl-ca-bundle-1 mounts: mountPath: /app/certs/ca-bundle-1.crt subPath: ca-bundle-1.crt # Mount new file ssl-ca-bundle-2: fromConfigMap: ssl-ca-bundle-2 mounts: mountPath: /app/certs/ca-bundle-2.crt subPath: ca-bundle-2.crt configFile: ## Use to enable custom certificates # Already have been there (hypothetically) ssl-ca-bundle-1: ca-bundle-1.crt: "files/ssl/ca-bundle-1.crt" # New file ssl-ca-bundle-2: ca-bundle-2.crt: "files/ssl/ca-bundle-2.crt"
- Примените изменения с помощью команды:
cd <installation_folder> # В зависимости от того, какие файлы (values-override.yaml или values-ssl.yaml) используется, прокидывайте в команду соответствующий файл через флаг -f helm -n <namespace> -f testit_unichart/values-override.yaml -f testit_unichart/values-ssl.yaml upgrade --install testit testit_unichart/ --wait --timeout 10m