让 PostgreSQL BDR 在没有超级用户(postgres 用户)权限的情况下工作?

Make PostgreSQL BDR work without superuser (postgres user) privileges?

我们在工作中从 MongoDB 切换到 Postgres,我正在建立一个 BDR 组。

在这一步,我正在考虑安全性并尽可能锁定。因此,我希望设置一个 replication 用户(角色)并让 BDR 使用它来进行复制。当使用受信任的连接或 postgres 用户进行身份验证时,我已经很高兴地拥有该组 运行。两者对我来说似乎都不是 100% 安全的,而且我特别不喜欢 postgres 用户的密码如何以明文形式出现在 bdr.bdr_nodes 的 DSN 连接字符串中。所以我尝试改用这个 replication 用户。

也就是说,例如在 pg_hba.conf:

hostssl appdb,replication replication 172.17.1.2 md5

和匹配的 DSN 连接字符串,

host=172.17.1.1 dbname=appdb user=replication password=secret

发出 bdr.bdr_group_create 时出现以下错误说明了此方法的问题:

ERROR:  local dsn does not have superuser rights
DETAIL:  The dsn 'host=172.17.1.1 dbname=appdb user=replication password=secret' connects successfully but does not grant superuser rights

这就是我有点困惑的地方。 BDR 真的需要超级用户权限才能进行复制吗?或者我可以向我的 replication 角色授予特定权限,使其能够在不全能的情况下开展业务吗?

也许只是我偏执,但我觉得 postgres 用户应该只用于系统管理员的东西,而且它的密码绝对不应该出现在 table在明文 DSN 连接字符串中,即使您需要特殊权限才能从 table.

中读取

目前您无法在没有超级用户连接的情况下使用 BDR 进行复制。逻辑解码需要它。我们希望在 BDR 的 9.6 版中解决这个问题。

请在走这条路之前非常仔细考虑您是否真的需要多主机。您确定带有只读副本的 active/standby 设置不足以满足您的需求吗?请仔细阅读有关 BDR 限制和其他应用程序开发注意事项的手册部分。