📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서(v17.0.0)의 한글판을 국내 최초로 제공합니다.
Infograb logo
Elasticsearch와 JWT 인증 사용

이 가이드는 Elasticsearch JWT 인증
을 Teleport와 함께 구성하는 데 도움을 줍니다.

필수 조건

  • 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

  • tctl 관리자 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

  • 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어: 
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status
    클러스터  teleport.example.com
    버전  17.0.0-dev
    CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
    클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
    자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
  • 실행 중인 애플리케이션 서비스.
  • Elasticsearch 클러스터 버전 >= 8.2.0 .

1/3단계. Elasticsearch에서 JWT 영역 활성화

Elasticsearch 구성 파일인 elasticsearch.yaml 을 업데이트하여
JWT 영역을 활성화합니다:

xpack.security.authc.realms.jwt.jwt1:
  order: 1
  client_authentication.type: none
  pkc_jwkset_path: https://proxy.example.com/.well-known/jwks.json
  claims.principal: sub
  claims.groups: roles
  allowed_issuer: example-cluster
  allowed_audiences: ["https://elasticsearch.example.com:9200"]

매개변수와 해당 값들을 자세히 살펴보겠습니다:

  • client_authentication.typenone 으로 설정합니다. 그렇지 않으면 Elasticsearch는
    클라이언트가 각 요청에 공유 비밀 값을 전송하도록 요구합니다.
  • pkc_jwkset_path 를 Teleport Proxy의 JWT 키 세트 파일 URL로 설정합니다.
    이는 https://<proxy>/.well-known/jwks.json 엔드포인트에서 사용할 수 있습니다.
    동일한 URL에서 JSON 파일을 다운로드하여 해당 경로를 직접 지정하여 사용할 수도 있습니다.
  • claims.principalclaims.groups 를 각각 subroles 로 설정합니다.
    이는 Teleport가 JWT 토큰에서 사용자 및 역할 정보를 전달하는 데 사용하는 클레임입니다.
    사용자와 역할이 Elasticsearch에 존재해야 한다는 점에 유의하세요.
  • allowed_issuer 를 Teleport 클러스터의 이름으로 설정합니다.
  • allowed_audiences 를 Teleport 애플리케이션 서비스가 Elasticsearch에 연결하는 데 사용할 URL로 설정합니다.
Elasticsearch 역할 매핑

JWT 인증을 사용할 때는 표준 Elasticsearch role_mapping.yml 파일을 사용하여 사용자 역할을 매핑할 수 없다는 점에 유의하세요. 대신 API를 사용하여 역할 매핑을 설정해야 합니다. 자세한 내용은 JWT 영역 권한 부여를 참조하세요.

2/3단계. Teleport에 Elasticsearch 애플리케이션 등록

Teleport App Service 구성 파일인 teleport.yaml 에서 Elasticsearch에 대한
항목을 등록합니다:

app_service:
  enabled: "yes"
  apps:
    - name: "elastic"
      uri: https://elasticsearch.example.com:9200
      rewrite:
        headers:
          - "Authorization: Bearer {{internal.jwt}}"
Tip

동적 등록도 사용할 수 있습니다.

Elasticsearch는 Authorization 헤더 안에 JWT 토큰을 전달해야 합니다.
위의 헤더 재작성 구성은 각 요청에서 {{internal.jwt}} 템플릿 변수를 Teleport 서명된 JWT
토큰으로 교체합니다.

3/3단계. ElasticSearch API에 연결

tsh login 으로 Teleport 클러스터에 로그인하고 Elasticsearch 애플리케이션이
사용 가능한지 확인합니다:

tsh apps ls
Application Description   Public Address               Labels----------- ------------- ---------------------------- -------------------------------elastic                   elastic.teleport.example.com

Elasticsearch용으로 짧은 수명의 X.509 인증서를 가져옵니다:

tsh apps login elastic

그런 다음 curl 명령을 사용하여 Elasticsearch API와 통신할 수 있으며,
이를 통해 Teleport 사용자로 인증됩니다:

curl \  --cacert ~/.tsh/keys/teleport.example.com/cas/root.pem \  --cert ~/.tsh/keys/teleport.example.com/alice-app/example-cluster/elastic-x509.pem \  --key ~/.tsh/keys/teleport.example.com/alice \  https://elastic.teleport.example.com/_security/user | jq

다음 단계

Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!