zawa-pg-tls

zawa 自架 PG image（ghcr.io/jigsawye/zawa-pg）。

Template 是 Zeabur marketplace 773OAW（PostgreSQL with pgvector）的直接 fork，service 定義（id / ports / volume / instructions / env 順序 / configs 檔）一字不動，讓 Zeabur dashboard 把這當「正規 Postgres service」處理 — Database tab、auto backup、exposed POSTGRES_* 變數全部 work。

跟 773OAW 的差異：

• Image：ghcr.io/jigsawye/zawa-pg:latest — PG 18 + pgvector + 首次啟動自動產自簽 TLS cert，cert 過期 30 天前自動重簽
• 多兩個 env 變數：SSL_SAN（cert SAN 列表）、LOG_TO_STDOUT（stderr 統一進 Zeabur log）

連線

• 服務間互連：reference ${POSTGRES_CONNECTION_STRING}。自簽 TLS 雖開但 server 不強制，內網流量直接連無需 sslmode。
• 外部（Vercel、local psql）：用 instruction 給的 URL，後面加 ?sslmode=require 取加密。要 verify-full 得分發 root CA — 換 Let's Encrypt 流程見 zawa-pg LE upgrade path。

還原備份

跟 773OAW 一樣：從備份區下載解壓 data.sql，跑 <PostgreSQL Connect Command> < data.sql。還原會覆蓋現有使用者密碼 — 想保留就先把 CREATE ROLE / ALTER ROLE 從 dump 拿掉。