AM
В общем, ещё в пг есть настройки workmem и shared buffers на каждое соединение. Кажется, что если 5000 умножить на эти числа будет жесть.
Size: a a a
2020 June 19
VU
В общем, ещё в пг есть настройки workmem и shared buffers на каждое соединение. Кажется, что если 5000 умножить на эти числа будет жесть.
Ну мы понимаем, но в общем куда ты денешься с подводной лодки
NG
Кажется, что безопасность должна проверяться на Middleware слое. А у самого софта должны быть права на определённые схемы. Anyways пулы в пг на 5000 коннектов не рекомендуются, наоборот используют способы, типа pgpool чтобы мультиплексировать соединения.
схемы вам ограничат доступ к таблицам, а тут вопрос в RLS.
NG
на стороне субд тоже 5000 ролей для входа? или роли создаются под группу доступа? если да, тогда мултиплексирование и пул соединений вполне сможет выдержать.
VU
Она не умеет такое? Если создавать по соединению на пользователя, которых у вас, как вы пишете ~5к, польза пула сомнительна.
А как она сама будет понимать? И коннект технической учеткой невозможен, по тем же требованиям ИБ
VU
на стороне субд тоже 5000 ролей для входа? или роли создаются под группу доступа? если да, тогда мултиплексирование и пул соединений вполне сможет выдержать.
Нет нет, ролей меньше конечно
AM
схемы вам ограничат доступ к таблицам, а тут вопрос в RLS.
Да, это понятно. Мой поинт в том, чтобы не юзать rls. Но кажется, здесь это одно из условий
NG
Нет нет, ролей меньше конечно
тогда в теории можно заматчить пользователя на роль, а пул соединений делать уже на основе ролей. даже если в hibernate/whatever такого нет, всегда можно накостылить свой простенький ресурс-пул по классике
AM
А как она сама будет понимать? И коннект технической учеткой невозможен, по тем же требованиям ИБ
Честно, я бы вам посоветовал спросить ещё в пг чатике про rls в постгре. Мб, есть у людей рабочие примеры
AM
Ну и настройки оптимальные
VU
тогда в теории можно заматчить пользователя на роль, а пул соединений делать уже на основе ролей. даже если в hibernate/whatever такого нет, всегда можно накостылить свой простенький ресурс-пул по классике
А скорость этого пула
VU
Честно, я бы вам посоветовал спросить ещё в пг чатике про rls в постгре. Мб, есть у людей рабочие примеры
А дайте ссылку на чатик пожалуйста
AM
скинул в личку
VP
А как она сама будет понимать? И коннект технической учеткой невозможен, по тем же требованиям ИБ
Запрос на аутентификацию по логину-паролю, как при открытии соединения. Но это так, предположение, я не знаю, есть ли там такая возможность.
AE
Честно, я бы вам посоветовал спросить ещё в пг чатике про rls в постгре. Мб, есть у людей рабочие примеры
там как раз на днях обсуждали что это bad practice
AM
там как раз на днях обсуждали что это bad practice
Когда у человека константа в условиях. То ему либо с этим смириться, либо идти и разносить отдел архитекторов. Для второго нужно иметь очень много сил и авторитета
AE
Когда у человека константа в условиях. То ему либо с этим смириться, либо идти и разносить отдел архитекторов. Для второго нужно иметь очень много сил и авторитета
Это понятно
DP
Когда у человека константа в условиях. То ему либо с этим смириться, либо идти и разносить отдел архитекторов. Для второго нужно иметь очень много сил и авторитета
а где вариант - уволиться?)
AM
а где вариант - уволиться?)
Этот вариант есть всегда. Но тогда через недельку придет другой такой же человек =)