Debian PostgreSQL网络与连接优化指南

一、基础网络配置优化

listen_addresses：将参数值从默认的localhost改为'*'，允许PostgreSQL监听所有网络接口的连接请求，支持远程客户端访问；若仅需限制特定IP段，可设置为具体IP列表（如'192.168.1.0/24'）。
port：保持默认5432即可，如需更改需同步更新防火墙规则，避免端口冲突。
ssl相关参数：若需加密传输，将ssl设为on，并指定证书与密钥文件路径（ssl_cert_file = '/etc/ssl/certs/postgresql.crt'、ssl_key_file = '/etc/ssl/private/postgresql.key'），提升数据传输安全性。

远程访问控制：添加针对特定IP或网段的规则，优先使用scram-sha-256（更安全）替代md5。例如，允许192.168.1.0/24网段通过密码认证连接所有数据库：host all all 192.168.1.0/24 scram-sha-256；若需允许所有IP（生产环境不推荐），可使用host all all 0.0.0.0/0 scram-sha-256。
本地连接优化：保留local all all peer（Unix域套接字）或local all all trust（仅测试环境使用），确保本地进程高效连接。

UFW防火墙设置：使用sudo ufw allow 5432/tcp命令开放PostgreSQL默认端口，若更改了port参数，需同步替换为实际端口；执行sudo ufw enable启用防火墙并验证规则：sudo ufw status。
网络连通性测试：通过ping <服务器IP>测试客户端与服务器的网络连通性；使用telnet <服务器IP> 5432或nc -vz <服务器IP> 5432验证端口是否可达，确保无网络阻断。

max_connections参数：根据服务器内存大小调整（如8GB内存可设置为100-200），避免过多连接导致内存耗尽。修改后需重启PostgreSQL服务生效：sudo systemctl restart postgresql。

PgBouncer配置（推荐）：
- 安装：sudo apt update && sudo apt install pgbouncer。
- 配置/etc/pgbouncer/pgbouncer.ini：
  - [databases]：指定要池化的数据库（如mydb = host=localhost port=5432 dbname=mydb）；
  - [pgbouncer]：设置listen_port = 6432（连接池端口）、auth_type = md5（认证方式）、pool_mode = transaction（事务池模式，适合大多数场景）、max_client_conn = 1000（最大客户端连接数）、default_pool_size = 20（每个客户端的默认池大小）、server_idle_timeout = 300（服务器空闲连接超时，回收资源）。
- 重启服务：sudo systemctl restart pgbouncer，并通过sudo systemctl status pgbouncer验证状态。
客户端连接调整：使用连接池库（如Python的psycopg2.pool.SimpleConnectionPool）管理连接，设置合理的minconn（最小连接数）和maxconn（最大连接数），避免频繁创建/销毁连接。

编辑postgresql.conf，调整以下参数提升TCP性能：
- tcp_keepalives_idle = 60：空闲连接60秒后发送保活探测；
- tcp_keepalives_interval = 10：保活探测间隔10秒；
- tcp_keepalives_count = 5：连续5次探测失败后关闭连接，防止僵尸连接占用资源。

避免DNS查询延迟，将客户端和服务器的主机名与IP地址添加到/etc/hosts文件中（如192.168.1.100 postgres-server），确保快速解析。

避免使用md5加密（易破解），优先使用scram-sha-256（PostgreSQL 10+原生支持），在pg_hba.conf中修改认证方式为scram-sha-256，并重新设置用户密码：ALTER USER username WITH PASSWORD 'new_password';。

在pg_hba.conf中，将host规则的IP段缩小至实际需要的网段（如公司内网10.0.0.0/8），而非开放0.0.0.0/0；结合防火墙规则，进一步过滤非法IP访问。

0 赞

0 踩