PostgreSQL 业务用户

    在PostgreSQL中,用户(User) 指的是数据库集簇中的一个对象,由SQL语句CREATE USER/ROLE所创建。

    在PostgreSQL中,用户直接隶属于数据库集簇而非某个具体的数据库。因此在创建业务数据库和业务用户时,应当遵循”先用户,后数据库”的原则。

    Pigsty通过两个配置参数定义数据库集群中的角色与用户:

    前者定义了整套环境中共有的角色,后者定义单个集群中特有的业务角色与用户。二者形式相同,均为用户定义对象数组。 下面是一个用户定义的例子:

    • name : 每一个用户或角色必须指定 name,唯一的必选参数。
    • password : 是可选项,如果留空则不设置密码,可以使用MD5密文密码。
    • expire_atexpire_in用于控制用户过期时间,expire_at使用形如YYYY-mm-DD的日期时间戳。expire_in使用从现在开始的过期天数,如果expire_in存在则会覆盖选项。
    • pgbouncer: true 用于控制是否将新用户加入Pgbouncer用户列表中,该参数必须显式定义为true,相应用户才会被加入到Pgbouncer用户列表。
    • roles 为该角色/用户所属的分组,可以指定多个分组,例如为用户添加默认角色

    在运行中的已有数据库集群上,使用预制剧本 pgsql-createuser.yml 来创建新的业务数据库。

    首先,您需要在相应数据库集群配置的 配置项中添加该用户的定义。然后,使用以下命令即可在对应集群上创建该用户或角色。

    当目标用户已经存在时,Pigsty会修改目标用户的属性使其符合配置。

    如果被创建的用户带有pgbouncer: true标记,该剧本会同时修改并重载数据库集群内所有Pgbouncer的配置/etc/pgbouncer/userlist.txt

    Pgbouncer的操作系统用户将与数据库超级用户保持一致,都使用{{ pg_dbsu }},默认为postgres。 Pigsty默认使用Postgres管理用户作为Pgbouncer的管理用户,使用Postgres的监控用户同时作为Pgbouncer的监控用户。

    Pgbouncer的用户列表通过/etc/pgbouncer/userlist.txt文件进行控制, Pgbouncer的用户权限通过/etc/pgbouncer/pgb_hba.conf进行控制。

    只有显式添加pgbouncer: true配置条目的用户才会被加入到Pgbouncer用户列表中,并通过Pgbouncer访问数据库。 通常生产应用使用的账号应当通过Pgbouncer连接池访问数据库,而个人用户,管理,ETL等则应当直接访问数据库。

    正常情况下请使用 剧本管理数据库用户。紧急情况下亦可在数据库实例上以用户执行以下命令来手工添加用户,需要在集群中所有Pgbouncer上执行该命令并重新加载配置。