📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서의 한글판을 국내 최초로 제공합니다.
Infograb logo
Elasticsearch와 함께 JWT 인증 사용하기

이 가이드는 Teleport와 함께 Elasticsearch JWT 인증을 구성하는 데 도움이 됩니다.

사전 요구 사항

  • 실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.

  • tctl 관리 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드에 대한 지침은 설치를 방문하세요.

  • 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어: 
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status
    클러스터  teleport.example.com
    버전  16.2.0
    CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
    클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
  • 실행 중인 애플리케이션 서비스.
  • Elasticsearch 클러스터 버전 >= 8.2.0.

단계 1/3. Elasticsearch에서 JWT 영역 활성화

elasticsearch.yaml Elasticsearch 구성 파일을 업데이트하여 JWT 영역을 활성화합니다:

xpack.security.authc.realms.jwt.jwt1:
  order: 1
  client_authentication.type: none
  pkc_jwkset_path: https://proxy.example.com/.well-known/jwks.json
  claims.principal: sub
  claims.groups: roles
  allowed_issuer: example-cluster
  allowed_audiences: ["https://elasticsearch.example.com:9200"]

매개변수 및 해당 값을 자세히 살펴보겠습니다:

  • client_authentication.typenone으로 설정합니다. 그렇지 않으면 Elasticsearch는 클라이언트가 각 요청에 대해 공유 비밀 값을 전송하도록 요구합니다.
  • pkc_jwkset_path를 Teleport Proxy의 JWT 키 세트 파일 URL로 설정합니다. 이는 https://<proxy>/.well-known/jwks.json 엔드포인트에서 사용할 수 있습니다. 동일한 URL에서 JSON 파일을 다운로드하고 경로를 직접 지정할 수도 있습니다.
  • claims.principalclaims.groups를 각각 subroles로 설정합니다. 이는 Teleport가 JWT 토큰에서 사용자 및 역할 정보를 전달하는 데 사용하는 클레임입니다. 사용자와 역할이 Elasticsearch에 존재해야 함을 명심하세요.
  • allowed_issuer를 Teleport 클러스터의 이름으로 설정합니다.
  • allowed_audiences를 Teleport 애플리케이션 서비스가 Elasticsearch에 연결하는 데 사용할 URL로 설정합니다.
Elasticsearch 역할 매핑

JWT 인증을 사용할 때 표준 Elasticsearch role_mapping.yml 파일을 사용하여 사용자 역할을 매핑할 수 없습니다. 대신 API를 사용하여 역할 매핑을 설정해야 합니다. 자세한 내용은 JWT 영역 권한 부여를 참조하세요.

단계 2/3. Teleport에서 Elasticsearch 애플리케이션 등록

Teleport App Service 구성 파일 teleport.yaml에서 Elasticsearch에 대한 항목을 등록합니다:

app_service:
  enabled: "yes"
  apps:
  - name: "elastic"
    uri: https://elasticsearch.example.com:9200
    rewrite:
      headers:
      - "Authorization: Bearer {{internal.jwt}}"
Tip

동적 등록도 사용할 수 있습니다.

Elasticsearch는 Authorization 헤더 내에서 JWT 토큰이 전달되도록 요구합니다. 위의 헤더 재작성 구성은 각 요청에서 {{internal.jwt}} 템플릿 변수를 Teleport 서명된 JWT 토큰으로 교체합니다.

단계 3/3. ElasticSearch API에 연결

tsh login으로 Teleport 클러스터에 로그인하고 Elasticsearch 애플리케이션이 사용 가능하다는 것을 확인합니다:

tsh apps ls
Application Description   Public Address               Labels----------- ------------- ---------------------------- -------------------------------elastic                   elastic.teleport.example.com

Elasticsearch에 대한 단기 X.509 인증서를 가져옵니다:

tsh apps login elastic

그런 다음 curl 명령을 사용하여 Elasticsearch API와 통신할 수 있으며, 이는 Teleport 사용자로서 당신을 인증합니다:

curl \  --cacert ~/.tsh/keys/teleport.example.com/cas/root.pem \  --cert ~/.tsh/keys/teleport.example.com/alice-app/example-cluster/elastic-x509.pem \  --key ~/.tsh/keys/teleport.example.com/alice \  https://elastic.teleport.example.com/_security/user | jq

다음 단계

Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!