샌드박스 방화벽을 통한 Postgres 연결 지원
요약
샌드박스 방화벽 기능 업데이트를 통해 Vercel Sandbox 환경에서 Neon, Supabase, AWS RDS 등 다양한 호스팅된 Postgres 데이터베이스에 연결할 수 있게 되었습니다. 기존 샌드박스는 TLS 핸드셰이크 과정에서 도메인 이름 확인을 수행하여 아웃바운드 액세스를 제한했으나, Postgres는 평문 TCP 연결 후 TLS로 업그레이드하는 독특한 협상 방식을 사용해 이전에 연결에 실패했습니다. 이번 업데이트는 이러한 Postgres의 TLS 협상 흐름을 감지하고 조정함으로써, 코드나 데이터베이스 설정 변경 없이도 안정적인 연결을 지원합니다.
핵심 포인트
- 샌드박스 방화벽이 Neon, Supabase, AWS RDS 등 주요 호스팅 Postgres DB 연결을 공식적으로 지원하게 되었습니다.
- 기존 샌드박스는 TLS 핸드셰이크 시 도메인 이름 가시성을 요구했으나, Postgres는 평문 TCP -> TLS 업그레이드를 거치므로 연결에 실패했습니다.
- 업데이트된 방화벽은 Postgres의 독특한 TLS 협상 흐름(평문 시작 후 TLS 업그레이드)을 감지하고 정책 적용 시점을 조정하여 안정적인 연결을 보장합니다.
- 연결 성공을 위해서는 클라이언트가 최소 버전 이상이어야 하며, 관리형 DB는 기본적으로 `sslmode=require`를 사용해야 합니다.
이제 호스팅된 Postgres 데이터베이스인 , , , , 및 에 연결할 수 있습니다. 연결을 활성화하려면 데이터베이스 호스트를 샌드백스의 허용 도메인에 추가하세요.
Vercel Sandbox Neon Supabase AWS RDS Nile Prisma Postgres
Vercel Sandbox 와 함께 사용될 때, 샌드박스 방화벽은 연결의 TLS 핸드셰이크 도중 도메인 이름을 확인하여 아웃바운드 네트워크 액세스를 제한합니다. 이는 연결 시작 시 도메인이 가시적인 HTTPS 트래픽에서는 원활하게 작동합니다.
SNI 기반 필터링
하지만 Postgres 는 TLS 를 다르게 협상합니다. Postgres 클라이언트는 먼저 평문 TCP 연결을 열고 TLS 로 업그레이드합니다. 방화벽이 처음 도메인을 필요로 할 때 도메인이 사용 가능하지 않기 때문에, 표준 도메인 제한 샌드박스를 통한 Postgres 연결은 실패할 것입니다.
샌드박스 방화벽은 이제 Postgres TLS 협상 흐름을 조정합니다. 프로토콜의 시작 시퀀스를 감지하고, TLS 업그레이드를 기다린 다음 데이터베이스로 연결을 전달하기 전에 도메인 정책을 적용합니다. 코드나 데이터베이스 설정에 변경 사항은 필요하지 않습니다.
다음은 완전한 예시입니다: 샌드박스를 생성하고 Postgres 클라이언트를 설치하며 네트워크를 데이터베이스 호스트만 허용하도록 제한한 후 쿼리를 실행합니다.
샌드박스 방화벽에 대해 자세히 알아보기
배경
무엇이 변경되었는지
호스팅된 데이터베이스 연결
알아야 할 사항
도메인 기반 규칙은 TLS 핸드셰이크 도중 호스트네임이 가시적이어야 하므로, 클라이언트는 또는 이상의 버전으로 연결해야 합니다. 데이터베이스가 TLS 를 지원하지 않는 경우 대신 허용할 수 있습니다.
대부분의 관리형 Postgres 제공업체는 기본적으로 TLS 를 요구합니다.
TLS 가 필수입니다: sslmode=require
IP 범위
를 사용하는 클라이언트는 자동으로 TLS 로 회귀하지만, 는 연결되지 않습니다.
GSSAPI 암호화는 지원되지 않습니다: gssencmode=prefer, gssencmode=require
클라이언트가 를 사용하며 데이터베이스가 TLS 를 지원하지 않는 경우, 연결이 실패하거나 침묵적으로 평문으로 회귀하지 않습니다.
침묵적 다운그레이드는 허용되지 않습니다: sslmode=prefer
AI 자동 생성 콘텐츠
본 콘텐츠는 Vercel AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기