说说没有公网IP也能连数据库:把内网PostgreSQL开放给远程联调

整理一篇学习笔记,把看到的一些要点和自己的理解都记下来。

前言

很多人在本地或内网服务器上部署PostgreSQL时,最开始只是为了开发测试。自己连接没问题,局域网里的机器也能访问,但一到外部协作就卡住了:同事不在同一网络,客户想看Demo,测试环境要远程连库,却发现数据库根本无法从公网访问。

没有公网IP并不代表数据库只能困在局域网里。对于开发联调、临时演示、小范围测试这类场景,可以通过TCP内网穿透把PostgreSQL端口映射到公网,让外部设备通过公网域名和端口连接到内网数据库。

这里会先在CentOS 7环境中搞定PostgreSQL安装,包含官方YUM源配置、数据库初始化、服务启动、管理员密码修改、数据库创建,以及基础远程连接配置。这里会涉及pg_hba.confpostgresql.conf两个关键文件,它们决定了谁能连、从哪里连、用什么认证方式连。

在本地和局域网连接验证通过后,再使用 cpolar创建TCP隧道,将PostgreSQL的5432端口映射成公网访问地址。这样外部机器就可以通过psql命令或数据库客户端连接到这台内网数据库。

不过,数据库远程访问和普通网页服务不一样,安全边界一定要提前考虑。公网访问适合临时联调和受控使用,不建议把数据库长期裸露给不确定对象。后续配置固定TCP地址时,也要配合强密码、最小权限账号和必要的访问控制一起使用。

1.在Centos7上安装postgresql

本次在linux环境安装。
在官网上选择 Linux系统,使用 yum来下载软件,只需选择对应版本和平台,即可生成下载和安装的脚本。

按照生成的脚本,安装。我这里是:

sudo yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm
sudo yum install -y postgresql14-server
sudo /usr/pgsql-14/bin/postgresql-14-setup initdb
sudo systemctl enable postgresql-14
sudo systemctl start postgresql-14

按照步骤一步步操作。

修改PostgreSQL管理员密码。

su postgres
// 切换SQL模式
psql
// 修改密码
alter user postgres with password 'postgres123';

配置远程访问。

修改pg_hba.conf,新增如下:

sudo vim /var/lib/pgsql/14/data/pg_hba.conf

新增一行:

host    all     all    0.0.0.0/0    scram-sha-256

修改监听地址为任意地址,即修改postgresql.conf文件:

vi /var/lib/pgsql/15/data/postgresql.conf

修改地址为 * :

listen_addresses = '*'

重新启动:

systemctl restart postgresql-14

切换到postgres用户,新建mydb库:

su postgres
create database mydb;

使用另一台服务器,远程连接到该库:

psql -h 192.168.42.140 -p 5432 -U postgres -d mydb

成功!

2.安装cpolar内网穿透工具

cpolar 可以将你本地电脑中的服务(如 SSH、Web、数据库)映射到公网。即使你在家里或外出时,也可以通过公网地址连接回本地运行的开发环境。

❤️以下是安装cpolar步骤:

使用一键脚本安装命令:

sudo curl https://get.cpolar.sh | sh

安装搞定后,执行下方命令查看cpolar服务状态:(如图所示即为正常启动)

sudo systemctl status cpolar

Cpolar安装和成功启动服务后,在浏览器上输入虚拟机主机IP加9200端口即:【http://192.168.42.101:9200】访问Cpolar管理界面,使用Cpolar官网注册的账号登录,登录后即可见到cpolar web 配置界面,接下来在web 界面配置即可:

打开浏览器访问本地9200端口,使用cpolar账户密码登录即可,登录后即可对隧道进行管理。

3.配置公网地址

通过配置,你可以在本地 WSL 或 Linux 系统上运行 SSH 服务,并通过 Cpolar 将其映射到公网,从而实现从任意设备远程连接开发环境的目的。

  • 隧道名称:可自定义,本例使用了:postgres,注意不要与已有的隧道名称重复
  • 协议:tcp
  • 本地地址:192.168.42.140:5432
  • 端口类型:随机临时TCP端口
  • 地区:China Vip

创建成功后,打开左侧在线隧道列表,可以见到刚刚通过创建隧道生成了公网地址,接下来就可以在其他电脑或者移动端设备(异地)上,使用任意一个地址在终端中访问即可。

  • tcp 表示使用的协议类型
  • 2.tcp.vip.cpolar.cn是 Cpolar 给出的域名
  • 11084是随机分配的公网端口号
通过 Cpolar 给出的公网地址和端口,使用 SSH 协议从任意一台主机连接到postgres账号啦!

psql -h 2.tcp.vip.cpolar.cn -p 11084 -U postgres -d mydb

4.保留固定TCP公网地址

使用cpolar为其配置TCP地址,该地址为固定地址,不会随机变化。

选择区域和描述:有一个下拉菜单,当前选择的是“China VIP”。
右侧输入框,用于填写描述信息。
保留按钮:在右侧有一个橙色的“保留”按钮,点击该按钮可以保留所选的TCP地址。
列表中显示了一条已保留的TCP地址记录。

  • 地区:显示为“China VIP”。
  • 地址:显示为“8.tcp.vip.cpolar.cn:13299”。
登录cpolar web UI管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到所要配置的隧道postgres,点击右侧的编辑

修改隧道信息,将保留成功的TCP端口配置到隧道中。

  • 端口类型:选择固定TCP端口
  • 预留的TCP地址:填写保留成功的TCP地址
点击更新

创建搞定后,打开在线隧道列表,此时可以见到随机的公网地址已经发生变化,地址名称也变成了保留和固定的TCP地址。

最后测试一下固定的地址是否好用,测试命令:

psql -h 8.tcp.vip.cpolar.cn -p 13299 -U postgres -d mydb

这样,我们成功打破了“没有公网 IP 就无法远程访问数据库”的固有认知。

总结

完成配置后,PostgreSQL就可以从内网服务变成一个可被远程连接的数据库环境。外部设备不要和服务器处在同一局域网,只要拿到公网域名、端口、用户名、密码和数据库名,就能完成连接测试。

这套方案的价值,主要体现在开发联调和临时演示上。举个例子家里或公司内网跑着PostgreSQL,外地同事要调试接口,客户需要验证Demo,或者测试机需要连接真实数据库,都可以通过TCP隧道快速打通访问链路。

配置 cpolar 的固定TCP地址后,连接地址不会频繁变化,比随机临时端口更适合长期测试和多人协作。后续在psql、Navicat、DBeaver等客户端中,都可以直接填写固定域名和端口进行连接。

需要注意的是,PostgreSQL属于高敏感服务,不建议只为了方便就长期开放给公网。实际使用时,应避免使用弱密码,尽量创建专用低权限账号,不要直接共享超级用户;同时关注防火墙、认证规则、备份策略和连接日志。

PostgreSQL负责给出数据库能力,CentOS负责承载服务运行,cpolar负责补上跨网络访问通道。把这几部分组合起来以后,没有公网IP也可以完成远程数据库联调,但前提是始终把安全配置放在访问便利之前。


这篇笔记就先到这里,后面用到新的思路或者发现有问题再补充。

评论 (0)

暂无评论