以下の3つのトラフィックはすべて証明書で保護されたTLS接続を使用して保護できます。
クライアントアプリケーションからFEPClusterへのPostgresトラフィック
FEPCluster内のPatroniRESTAPI
FEPCluster内のPostgresトラフィック(レプリケーション、巻き戻しなど)
ここでは、TLS接続を保護するための証明書を作成し、相互認証を提供する2つの方法を提供します。1つは、証明書を手動で作成および更新する方法です。もう1つは、cert-managerを使用して自動で更新される証明書を作成する方法です。
注意
MTLS構成のデータベースクラスタへのクライアント接続には、以下が適用されます。
MTLSデータベースクラスタの作成時に指定したサーバ(検証) のルート証明書をクライアントマシンに配布します。
新しいクライアント証明書を作成して使用します。
サーバールート証明書とクライアントルート証明書が異なる場合は、サーバー側の構成の更新が必要です。
