인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
Oracle 데이터베이스 접근
Teleport는 Teleport Database Service를 통해 Oracle 에 대한 안전한 액세스를 제공합니다. 이를 통해 Teleport RBAC 시스템을 통한 세밀한 액세스 제어가 가능합니다.
Teleport Database Service는 데이터베이스 클라이언트의 트래픽을 인프라 내의 자체 호스팅 데이터베이스로 프록시합니다. Teleport는 데이터베이스 클라이언트를 위한 인증서 기관을 유지 관리합니다. 데이터베이스를 구성하여 Teleport 데이터베이스 클라이언트 CA를 신뢰하도록 하고, Teleport Database Service는 사용자 트래픽을 프록시할 때 이 CA로 서명된 인증서를 제공합니다. 이러한 설정을 통해 자체 호스팅 데이터베이스에 대한 장기 자격 증명을 저장할 필요가 없습니다.
한편, Teleport Database Service는 TLS 인증서를 Teleport 데이터베이스 CA 또는 사용자가 선택한 사용자 정의 CA와 대조하여 자체 호스팅 데이터베이스를 검증합니다.
이 가이드에서는 다음을 수행합니다:
- Teleport 액세스를 위해 Oracle 데이터베이스를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport 데이터베이스 서비스는 상시 호스팅된 Oracle 데이터베이스에 상호 TLS를 사용하여 인증합니다. Oracle는 데이터베이스 클라이언트에 대한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport 데이터베이스 서비스는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자로부터 클라이언트 트래픽을 프록시합니다.
전제 조건
-
실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하여 무료 평가판을 이용해 보십시오.
-
tctl
관리자 도구 및tsh
클라이언트 도구.tctl
및tsh
다운로드에 대한 지침은 설치 를 방문하십시오.
- 자가 호스팅 Oracle 서버 인스턴스 18c 이상.
sqlcl
Oracle 클라이언트가 설치되어 시스템의PATH
환경 변수에 추가되어 있거나 JDBC를 지원하는 GUI 클라이언트.- 선택 사항: 자가 호스팅 데이터베이스에 대한 인증서를 발급하는 인증 기관.
1/6단계. Teleport 토큰 및 사용자 만들기
Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl
명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token
안에 토큰 출력을 저장하세요:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
Tip
데이터베이스 서비스에 대한 접근을 제공하기 위해 기존 사용자를 수정하려면 데이터베이스 접근 제어를 참조하십시오.
다음과 같이 내장된 access
및 requester
역할을 가진 로컬 Teleport 사용자를 만듭니다:
tctl users add \ --roles=access,requester \ --db-users=\* \ --db-names=\* \ alice
플래그 | 설명 |
---|---|
--roles | 사용자에게 할당할 역할 목록. 내장된 access 역할을 사용하면 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있습니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록. 와일드카드로 모든 사용자가 허용됩니다. |
--db-names | 사용자가 데이터베이스 서버 내의 논리적 데이터베이스(또는 스키마)에 연결할 수 있는 목록. 와일드카드로 모든 데이터베이스가 허용됩니다. |
Warning
데이터베이스 이름은 PostgreSQL 및 MongoDB 데이터베이스에만 적용됩니다.
데이터베이스 접근 제어 및 접근 제한에 대한 더 자세한 정보는 RBAC 문서를 참조하십시오.
2/6단계. 인증서/키 쌍 및 Teleport Oracle Wallet 만들기
Teleport는 자체 호스팅 데이터베이스와 상호 TLS 인증을 사용합니다. 이러한 데이터베이스는 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증 기관으로 구성되어야 합니다. 또한 Teleport가 검증할 수 있는 인증서/키 쌍이 필요합니다.
tctl
을 사용하여 워크스테이션에서 인증서를 발급하려면, 귀하의 Teleport 사용자가 시스템 역할 Db
를 가장하도록 허용되어야 합니다.
귀하의 Teleport 사용자 역할에 다음 allow
규칙을 포함하십시오:
allow:
impersonate:
users: ["Db"]
roles: ["Db"]
다음 지침에 따라 데이터베이스를 위한 TLS 자격 증명을 생성합니다.
host db.example.com에 대한 Teleport의 인증 기관 및 생성된 인증서/키 쌍을 내보냅니다.
유효 기간은 3개월입니다.
tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h
이 예에서 db.example.com
은 Teleport 데이터베이스 서비스가 Oracle 서버에 도달할 수 있는 호스트 이름입니다.
TTL
우리는 더 짧은 TTL 사용을 권장하지만, 데이터베이스 서버 인증서가 만료되기 전에 업데이트해야 연결할 수 있는 능력을 잃지 않는 것을 명심하세요. 사용 사례에 가장 적합한 TTL 값을 선택하세요.
tctl
이 로컬 환경에서 Orapki 도구를 찾으면, tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h
명령은 Oracle Wallet 및 Teleport Oracle Wallet으로 Oracle TCPS 리스너를 구성하는 방법에 대한 지침을 생성합니다. 그렇지 않으면 tctl auth sign --format=oracle
명령이 p12
인증서 및 Oracle 데이터베이스 인스턴스에서 Oracle Wallet을 생성하는 방법에 대한 지침을 생성합니다.
Oracle 데이터베이스가 기존 인증 기관에 의해 서명된 TLS 자격 증명을 제공하는 경우 대신 다음 단계를 수행합니다:
-
Teleport로부터 Oracle에 대한 CA 인증서를 내보내어 Teleport 데이터베이스 서비스의 트래픽을 인증합니다. example.teleport.sh:443를 클러스터 내 Teleport 프록시 서비스의 호스트 및 웹 포트로 바꾸십시오. 워크스테이션에서 다음 명령을 실행합니다:
tctl auth export --type=db-client --auth-server=example.teleport.sh:443 > server.ca-client.crt -
server.ca-client.crt
를 Oracle 서버의 Oracle Wallet에 사용할 디렉토리로 이동합니다. -
Oracle 서버에 대한 PKCS12 형식으로 키 및 인증서를 발급하고 결과 P12 파일을 Oracle Wallet 디렉토리의
server.p12
로 이동합니다. -
Oracle 서버에서
orapki
도구를 사용하여 Oracle Wallet을 설정합니다:이 값을 비밀번호로 할당합니다.
PKCS12_PASS=""WALLET_DIR="/path/to/oracleWalletDir"orapki wallet create -wallet "$WALLET_DIR" -auto_login_onlyorapki wallet import_pkcs12 -wallet "$WALLET_DIR" -auto_login_only -pkcs12file server.p12 -pkcs12pwd ${PKCS12_PASS?}orapki wallet add -wallet "$WALLET_DIR" -trusted_cert -auto_login_only -cert server.ca-client.crt
Warning
Oracle 서버로 이러한 파일을 복사하는 경우, cert 파일 권한이 oracle
사용자가
읽을 수 있도록 설정되어 있는지 확인하십시오.
3/6단계. Oracle 데이터베이스 구성
Teleport Oracle 통합을 활성화하려면 TCPS Oracle 리스너를 구성하고 이전 단계에서 생성한 Teleport Oracle Wallet을 사용해야 합니다.
listener.ora
Oracle 구성 파일을 정렬하고 다음 항목을 추가합니다:
LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = 0.0.0.0)(PORT = 2484))
)
)
WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE
또한, sqlnet.ora
Oracle 구성을 확장해야 합니다:
WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (TCPS)
Tip
listener.ora
구성 파일을 업데이트한 후 Oracle Listener를 lsnrctl reload
명령어로 다시 로드해야 합니다.
또한, Oracle 데이터베이스 사용자 계정은 유효한 클라이언트 인증서를 요구하도록 구성되어야 합니다. 새 사용자를 생성하는 경우:
CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
GRANT CREATE SESSION TO alice;
4/6단계. 데이터베이스 서비스 구성 및 시작
Teleport를 설치하고 구성하여 Teleport 데이터베이스 서비스를 실행할 위치를 설정합니다:
적절한 명령어를 사용하여 패키지를 설치하세요:
Teleport 에디션
- 기업
- 기업 클라우드
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport APT 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v17" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/nullsudo apt-get updatesudo apt-get install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips
패키지를 설치합니다:
sudo apt-get install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport YUM 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport.repo")"sudo yum install teleport-ent팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips
패키지를 설치합니다:
sudo yum install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport Zypper 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")zypper를 사용하여 teleport RPM 리포를 추가합니다.
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")sudo yum install teleport-ent팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips
패키지를 설치합니다:
sudo yum install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport YUM 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf config manager 플러그인을 사용하여 teleport RPM 리포를 추가합니다.
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport.repo")"teleport 설치
sudo dnf install teleport-ent팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips
패키지를 설치합니다:
sudo dnf install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releaseTeleport Zypper 리포지토리 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM 리포를 추가합니다.
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport-zypper.repo")teleport 설치
sudo zypper install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips
패키지를 설치합니다:
sudo zypper install teleport-ent-fips
아래의 예제 명령에서 $SYSTEM_ARCH
를 적절한
값(amd64
, arm64
, 또는 arm
)으로 업데이트하십시오. 이 변수를 사용하는 모든 예제 명령은
하나가 입력된 후 업데이트됩니다.
curl https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gzshasum -a 256 teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gzcd teleport-entsudo ./install
Teleport Enterprise의 FedRAMP/FIPS 준수 설치의 경우, 패키지 URL 는 약간 다르게 됩니다:
curl https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gzshasum -a 256 teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gzcd teleport-entsudo ./install
Teleport 저장소를 저장소 목록에 추가하세요:
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport APT 저장소 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"저장소 업데이트 및 Teleport 및 Teleport 업데이트 설치
sudo apt-get updatesudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater
OS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가하세요 (따라서 'sudo tctl users add'가 문서처럼 작동할 것입니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf 구성 관리자를 사용하여 teleport RPM 저장소 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가하세요 (따라서 'sudo tctl users add'가 문서처럼 작동할 것입니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport Zypper 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM 저장소 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater
v16 이외의 버전으로 teleport
바이너리를 설치하기 전에,
바이너리가 Teleport 기업 클라우드와 호환되는지 확인하기 위해 호환성 규칙을 읽으세요.
Teleport는 의미 체계 버전 관리(Semantic Versioning)를 사용합니다. 버전 번호는 주 버전, 보조 버전, 패치 버전으로 구성되며, 점으로 구분됩니다. 클러스터 내에서 여러 teleport
바이너리를 실행할 때는 다음 규칙이 적용됩니다:
- 패치 및 보조 버전은 항상 호환됩니다. 예를 들어, 어떤 8.0.1 구성 요소는 어떤 8.0.3 구성 요소와 작동하며, 어떤 8.1.0 구성 요소는 어떤 8.3.0 구성 요소와도 작동합니다.
- 서버는 한 개의 주 버전이 낮은 클라이언트를 지원하지만, 새로운 주 버전의 클라이언트는 지원하지 않습니다. 예를 들어, 8.x.x Proxy Service 인스턴스는 7.x.x 에이전트와 7.x.x
tsh
와 호환되지만, 9.x.x 에이전트가 8.x.x Proxy Service 인스턴스와 작동할 것이라고 보장하지 않습니다. 이는 또한 6.x.x에서 8.x.x로 직접 업그레이드하지 않아야 함을 의미합니다. 먼저 7.x.x로 업그레이드해야 합니다. - Proxy Service 인스턴스와 에이전트는 이전 주 버전의 Auth Service 인스턴스를 지원하지 않으며, 기본적으로 이전 Auth Service 인스턴스에 연결할 수 없습니다. 에이전트와 Proxy Service 인스턴스를 시작할 때
--skip-version-check
를 전달하여 버전 검사를 무시할 수 있습니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 적절한 구성으로 Teleport를 시작합니다.
단일 Teleport 프로세스는 여러 다른 서비스를 실행할 수 있습니다. 예를 들어, 여러 데이터베이스 서비스 에이전트뿐만 아니라 SSH 서비스나 애플리케이션 서비스도 실행할 수 있습니다. 아래 단계는 기존의 구성 파일을 덮어쓰므로, 여러 서비스를 실행 중인 경우 --output=stdout
를 추가하여 터미널에 구성을 출력하고 /etc/teleport.yaml
를 수동으로 조정하십시오.
다음 명령어를 실행하여 데이터베이스 서비스의 구성 파일을 /etc/teleport.yaml
에 생성하십시오. example.teleport.sh를 Teleport 프록시 서비스의 호스트 및 포트로 업데이트하십시오:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh \ --name=oracle \ --protocol=oracle \ --uri=oracle.example.com:2484 \ --labels=env=dev
Teleport 데이터베이스 서비스가 사용자 정의 CA를 신뢰하도록 구성하려면:
-
사용자 정의 CA에 대한 CA 인증서를 내보내고 Teleport 데이터베이스 서비스 호스트의
/var/lib/teleport/db.ca
에 배포합니다. -
위 명령어의 변형을 실행하여
--ca-cert-file
플래그를 사용합니다. 이는 Teleport 데이터베이스 서비스가 데이터베이스에서 트래픽을 검증하기 위해db.ca
에 있는 CA 인증서를 사용하도록 구성합니다:sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name=oracle \ --protocol=oracle \ --uri=oracle.example.com:2484 \ --ca-cert-file="/var/lib/teleport/db.ca" \ --labels=env=dev
데이터베이스 서버가 ComodoCA나 DigiCert와 같은 공용 CA에 의해 서명된 인증서를 사용하는 경우, CA를 내보내지 않고 trust_system_cert_pool
옵션을 사용할 수 있습니다:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name=oracle \ --protocol=oracle \ --uri=oracle.example.com:2484 \ --trust_system_cert_pool \ --labels=env=dev
호스트가 부팅될 때 the Teleport Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Teleport Database Service를 설치한 방법에 따라 다릅니다.
the Teleport Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:
sudo systemctl enable teleportsudo systemctl start teleport
the Teleport Database Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
systemctl status teleport
로 the Teleport Database Service의 상태를 확인하고, journalctl -fu teleport
로 로그를 볼 수 있습니다.
Teleport는 Kubernetes 클러스터에 Teleport 데이터베이스 서비스를 설치하기 위한 Helm 차트를 제공합니다.
Teleport Helm 저장소를 설정합니다.
Helm이 Teleport Helm 저장소에서 호스팅되는 차트를 설치할 수 있도록 허용합니다:
helm repo add teleport https://charts.releases.teleport.dev
원격 저장소의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리스로 업그레이드할 수 있습니다:
helm repo update
Kubernetes 클러스터에 Teleport 데이터베이스 서비스 구성과 함께 Teleport 에이전트를 설치합니다.
다음 내용을 포함하는 values.yaml
파일을 만듭니다. example.teleport.sh을 Teleport Proxy 서비스의 호스트와 포트로 업데이트하고, JOIN_TOKEN을 이전에 생성한 조인 토큰으로 업데이트합니다:
roles: db
proxyAddr: example.teleport.sh
# Teleport Community Edition을 사용하는 경우 false로 설정
enterprise: true
authToken: "JOIN_TOKEN"
databases:
- name: oracle
uri: oracle.example.com:2484
protocol: oracle
static_labels:
env: dev
Teleport 데이터베이스 서비스가 사용자 정의 CA를 신뢰하도록 구성하려면:
-
사용자 정의 CA를 위한 CA 인증서를 내보내고 작업 공간의
db.ca
에 제공하십시오. -
다음 명령을 사용하여 Teleport와 같은 네임스페이스에 데이터베이스 CA 인증서를 포함하는 비밀을 만듭니다:
kubectl create secret generic db-ca --from-file=ca.pem=/path/to/db.ca -
values.yaml
에 다음을 추가합니다:roles: db proxyAddr: example.teleport.sh # Teleport Community Edition을 사용하는 경우 false로 설정 enterprise: true authToken: JOIN_TOKEN databases: - name: oracle uri: oracle.example.com:2484 protocol: oracle + tls: + ca_cert_file: "/etc/teleport-tls-db/db-ca/ca.pem" static_labels: env: dev + extraVolumes: + - name: db-ca + secret: + secretName: db-ca + extraVolumeMounts: + - name: db-ca + mountPath: /etc/teleport-tls-db/db-ca + readOnly: true
-
차트를 설치합니다:
helm install teleport-kube-agent teleport/teleport-kube-agent \ --create-namespace \ --namespace teleport-agent \ --version 17.0.0-dev \ -f values.yaml -
Teleport 에이전트 파드가 실행 중인지 확인하십시오. 단일 준비된 컨테이너가 있는
teleport-kube-agent
파드를 하나 볼 수 있어야 합니다:kubectl -n teleport-agent get podsNAME READY STATUS RESTARTS AGEteleport-kube-agent-0 1/1 Running 0 32s
팁
단일 Teleport 프로세스는 여러 서비스를 실행할 수 있습니다. 예를 들어, 여러 데이터베이스 서비스 인스턴스와 함께 SSH 서비스나 애플리케이션 서비스와 같은 다른 서비스도 실행할 수 있습니다.
5/6단계. (선택 사항) Oracle 감사 로그를 Teleport가 가져오도록 구성
Teleport는 Oracle 감사 추적에서 감사 로그를 가져올 수 있습니다.
이 기능을 활성화하려면 Oracle 감사 추적을 구성하고 Oracle 감사 추적에서 감사 이벤트를 가져오는 데 사용될 전용 Teleport 사용자를 생성해야 합니다.
감사 이벤트를 가져오기 위해 내부 Oracle teleport
사용자를 생성합니다:
CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;
Oracle 감사 추적에서 테이블을 활성화합니다:
ALTER system SET audit_trail=db,extended scope=spfile;
감사 추적 변경 사항을 전파하기 위해 Oracle 인스턴스를 재시작합니다.
alice
사용자에 대해 Oracle 감사를 활성화합니다:
AUDIT ALL STATEMENTS by alice BY access;
Oracle에 연결하는 데 사용될 각 Teleport 사용자에 대해 감사를 활성화해야 합니다.
또한, 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.
이전에 생성한 데이터베이스 서비스 구성을 수정하여 Oracle 감사 추적에서 감사 로그를 가져옵니다:
db_service:
enabled: "yes"
databases:
- name: "oracle"
protocol: "oracle"
uri: "oracle.example.com:2484"
oracle:
audit_user: "teleport"
Teleport는 Oracle 감사 추적에서 감사 추적 이벤트를 정리하지 않습니다.
디스크 공간이 부족하지 않도록 Oracle 감사 추적 정리 정책을 구성해야 합니다.
6/6단계. 연결
데이터베이스 서비스가 클러스터에 조인하면 사용 가능한 데이터베이스를 보려면 로그인하십시오:
tsh login --proxy=mytenant.teleport.sh --user=alicetsh db ls이름 설명 허용된 사용자 레이블 연결
------ -------------- ------------- ------- -------
oracle Oracle 예제 [*] env=dev
데이터베이스에 연결합니다:
tsh db connect --db-user=alice --db-name=XE oracleSQLcl: 2023년 3월 31일 금요일 22.4 프로덕션 릴리스
저작권 (c) 1982, 2023, Oracle. 모든 권리 보유.
연결된 데이터베이스:
Oracle Database 21c Express Edition Release 21.0.0.0.0 - 프로덕션
버전 21.3.0.0.0
SQL>
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
특정 데이터베이스 인스턴스에 대한 자격 증명 제거.
tsh db logout oracle모든 데이터베이스 인스턴스에 대한 자격 증명 제거.
tsh db logout
다음 단계
- 특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.
- 고가용성(HA) 가이드를 확인하십시오.
- YAML 구성 참조를 살펴보십시오.
- 전체 CLI 참조를 확인하십시오.
- sqlnet.ora 파일의 매개변수 및 listener.ora 파일의 Oracle Net Listener 매개변수 Oracle 문서에서
sqlnet.ora
및listener.ora
구성에 대해 더 알아보십시오. - Oracle 감사 추적