인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
Elasticsearch와 JWT 인증 사용
이 가이드는 Elasticsearch JWT 인증
을 Teleport와 함께 구성하는 데 도움을 줍니다.
필수 조건
-
실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
-
tctl
관리자 도구와tsh
클라이언트 도구.tctl
및tsh
다운로드 방법에 대한 지침은 설치를 방문하십시오.
- 연결이 가능한지 확인하기 위해
tsh login
으로 로그인한 다음, 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결할 수 있고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl
명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다. - 실행 중인 애플리케이션 서비스.
- Elasticsearch 클러스터 버전 >=
8.2.0
.
1/3단계. Elasticsearch에서 JWT 영역 활성화
Elasticsearch 구성 파일인 elasticsearch.yaml
을 업데이트하여
JWT 영역을 활성화합니다:
xpack.security.authc.realms.jwt.jwt1:
order: 1
client_authentication.type: none
pkc_jwkset_path: https://proxy.example.com/.well-known/jwks.json
claims.principal: sub
claims.groups: roles
allowed_issuer: example-cluster
allowed_audiences: ["https://elasticsearch.example.com:9200"]
매개변수와 해당 값들을 자세히 살펴보겠습니다:
client_authentication.type
을none
으로 설정합니다. 그렇지 않으면 Elasticsearch는
클라이언트가 각 요청에 공유 비밀 값을 전송하도록 요구합니다.pkc_jwkset_path
를 Teleport Proxy의 JWT 키 세트 파일 URL로 설정합니다.
이는https://<proxy>/.well-known/jwks.json
엔드포인트에서 사용할 수 있습니다.
동일한 URL에서 JSON 파일을 다운로드하여 해당 경로를 직접 지정하여 사용할 수도 있습니다.claims.principal
과claims.groups
를 각각sub
및roles
로 설정합니다.
이는 Teleport가 JWT 토큰에서 사용자 및 역할 정보를 전달하는 데 사용하는 클레임입니다.
사용자와 역할이 Elasticsearch에 존재해야 한다는 점에 유의하세요.allowed_issuer
를 Teleport 클러스터의 이름으로 설정합니다.allowed_audiences
를 Teleport 애플리케이션 서비스가 Elasticsearch에 연결하는 데 사용할 URL로 설정합니다.
Elasticsearch 역할 매핑
JWT 인증을 사용할 때는 표준 Elasticsearch role_mapping.yml
파일을 사용하여
사용자 역할을 매핑할 수 없다는 점에 유의하세요. 대신 API를 사용하여 역할
매핑을 설정해야 합니다. 자세한 내용은 JWT 영역 권한
부여를
참조하세요.
2/3단계. Teleport에 Elasticsearch 애플리케이션 등록
Teleport App Service 구성 파일인 teleport.yaml
에서 Elasticsearch에 대한
항목을 등록합니다:
app_service:
enabled: "yes"
apps:
- name: "elastic"
uri: https://elasticsearch.example.com:9200
rewrite:
headers:
- "Authorization: Bearer {{internal.jwt}}"
Tip
동적 등록도 사용할 수 있습니다.
Elasticsearch는 Authorization
헤더 안에 JWT 토큰을 전달해야 합니다.
위의 헤더 재작성 구성은 각 요청에서 {{internal.jwt}}
템플릿 변수를 Teleport 서명된 JWT
토큰으로 교체합니다.
3/3단계. ElasticSearch API에 연결
tsh login
으로 Teleport 클러스터에 로그인하고 Elasticsearch 애플리케이션이
사용 가능한지 확인합니다:
tsh apps lsApplication Description Public Address Labels----------- ------------- ---------------------------- -------------------------------elastic elastic.teleport.example.com
Elasticsearch용으로 짧은 수명의 X.509 인증서를 가져옵니다:
tsh apps login elastic
그런 다음 curl
명령을 사용하여 Elasticsearch API와 통신할 수 있으며,
이를 통해 Teleport 사용자로 인증됩니다:
curl \ --cacert ~/.tsh/keys/teleport.example.com/cas/root.pem \ --cert ~/.tsh/keys/teleport.example.com/alice-app/example-cluster/elastic-x509.pem \ --key ~/.tsh/keys/teleport.example.com/alice \ https://elastic.teleport.example.com/_security/user | jq
다음 단계
- Teleport JWT 토큰 통합에 대한 더 많은 정보 얻기.
- Teleport 애플리케이션 서비스와 함께 API 접근하는 방법에 대해 더 알아보기.
- 애플리케이션 관련 액세스 제어 살펴보기.