Azure PostgreSQL 및 MySQL로 데이터베이스 접근

Teleport는 Teleport Database Service를 통해 Azure PostgreSQL or MySQL에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

Azure PostgreSQL or MySQL 데이터베이스 with Microsoft Entra ID-based authentication를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

Azure PostgreSQL/MySQL 유연 서버에 대한 데이터베이스 자동 발견은 Teleport 12.0부터 사용할 수 있습니다.

작동 방식

Teleport 데이터베이스 서비스는 Teleport 사용자와 Azure PostgreSQL 및 MySQL 간의 트래픽을 프록시합니다. 사용자가 Teleport를 통해 데이터베이스에 연결할 때, 데이터베이스 서비스는 Microsoft Entra ID(구 Azure AD)로부터 액세스 토큰을 얻고, 데이터베이스를 관리할 수 있는 권한으로 Azure에 주체로 인증합니다.

사전 요구 사항

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

배포된 Azure Database for PostgreSQL 또는 MySQL 서버.
Azure Active Directory 관리 권한.
Teleport 데이터베이스 서비스를 실행할 Azure VM 인스턴스 등 호스트.
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/5. Teleport 데이터베이스 서비스 설치

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Teleport 데이터베이스 서비스를 실행할 호스트에 Teleport를 설치합니다:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

데이터베이스 서비스 구성을 생성합니다.

--azure-postgres-discovery에서 데이터베이스의 지역을 지정합니다.

--proxy 값을 Teleport 프록시 주소 또는 Teleport 클라우드 URI (예: mytenant.teleport.sh:443)로 교체합니다:

sudo teleport db configure create \  -o file \  --proxy=teleport.example.com:443 \  --token=/tmp/token \  --azure-postgres-discovery=eastus

--azure-mysql-discovery에서 데이터베이스의 지역을 지정합니다.

--proxy 값을 Teleport 프록시 주소 또는 Teleport 클라우드 URI (예: mytenant.teleport.sh:443)로 교체합니다:

sudo teleport db configure create \  -o file \  --proxy=teleport.example.com:443 \  --token=/tmp/token \  --azure-mysql-discovery=eastus

데이터베이스 서비스 호스트에서 다음 명령을 실행합니다:

sudo teleport db configure create \  -o file \  --proxy=teleport.example.com:443 \  --token=/tmp/token \  --azure-mysql-discovery=eastus \  --azure-postgres-discovery=eastus

Tip

이 명령은 teleport.yaml 파일에 두 개의 types 엔터티를 생성하며, 각 데이터베이스 유형에 대해 유용합니다. 각 데이터베이스 유형에 대해 다른 지역, 태그 또는 레이블을 원할 경우 유용합니다.

대신, 단일 항목에 두 가지 데이터베이스 유형을 포함하도록 teleport.yaml을 편집할 수 있습니다:

db_service:
  azure:
  - types: ["mysql", "postgres"]
  ...

이 명령은 Azure MySQL/Postgres 데이터베이스 자동 발견 기능이 활성화된 데이터베이스 서비스 구성을 생성하여 /etc/teleport.yaml 위치에 배치합니다.

Teleport 역할 생성

tsh로 Teleport 클러스터에 로그인한 워크스테이션에서 Azure 데이터베이스에 대한 액세스를 제공하는 새로운 역할을 정의합니다. 다음 내용을 포함하여 azure-database-role.yaml이라는 파일을 생성합니다:

version: v7
kind: role
metadata:
  name: azure-database-access
spec:
  allow:
    db_labels:
      'engine':
        - "Microsoft.DBforMySQL/servers"
        - "Microsoft.DBforMySQL/flexibleServers"
        - "Microsoft.DBforPostgreSQL/servers"
        - "Microsoft.DBforPostgreSQL/flexibleServers"
    db_names:
    - '*'
    db_users:
    - teleport

플래그	설명
`--db-users`	사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록. 와일드카드가 모든 사용자를 허용합니다.
`--db-names`	사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리 데이터베이스(별칭 스키마) 목록. 와일드카드가 모든 데이터베이스를 허용합니다.
`--db-labels`	사용자가 접근할 수 있는 데이터베이스에 할당된 레이블 목록. 와일드카드 항목이 모든 데이터베이스를 허용합니다.

이 파일을 저장하고 Teleport 클러스터에 적용합니다:

tctl create -f azure-database-role.yaml
role 'azure-database-role.yaml'가 생성되었습니다.

azure-database-access 역할을 Teleport 사용자에게 할당하려면 인증 제공자에 맞는 적절한 명령어를 실행하세요:

로컬 사용자의 역할을 콤마로 구분된 목록으로 가져옵니다:
```
ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
```

로컬 사용자를 편집하여 새로운 역할을 추가합니다:

tctl users update $(tsh status -f json | jq -r '.active.username') \  --set-roles "${ROLES?},azure-database-access"

Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

github 인증 커넥터를 가져옵니다:
```
tctl get github/github --with-secrets > github.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 github.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 github.yaml 파일을 제거해야 합니다.
github.yaml을 편집하고 teams_to_roles 섹션에 azure-database-access을 추가합니다.

이 역할에 매핑할 팀은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 하지만 팀에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 팀이어야 합니다.

여기에 예시가 있습니다:
```
  teams_to_roles:
    - organization: octocats
      team: admins
      roles:
        - access
+       - azure-database-access
```
변경 사항을 적용합니다:
```
tctl create -f github.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 assum 하기 위해 다시 로그인합니다.

saml 구성 리소스를 가져옵니다:
```
tctl get --with-secrets saml/mysaml > saml.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 제거해야 합니다.
saml.yaml을 편집하고 attributes_to_roles 섹션에 azure-database-access을 추가합니다.

이 역할에 매핑할 속성은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.

여기에 예시가 있습니다:
```
  attributes_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - azure-database-access
```
변경 사항을 적용합니다:
```
tctl create -f saml.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

oidc 구성 리소스를 가져옵니다:
```
tctl get oidc/myoidc --with-secrets > oidc.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 제거해야 합니다.
oidc.yaml을 편집하고 claims_to_roles 섹션에 azure-database-access을 추가합니다.

이 역할에 매핑할 클레임은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.

여기에 예시가 있습니다:
```
  claims_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - azure-database-access
```
변경 사항을 적용합니다:
```
tctl create -f oidc.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

2단계/5. Azure 서비스 주체 구성

PostgreSQL 또는 MySQL 데이터베이스에 인증하기 위해, Teleport 데이터베이스 서비스는 Azure AD로부터 액세스 토큰을 받아야 합니다.

Teleport Database Service가 Azure 리소스에 접근할 수 있는 방법에는 두 가지가 있습니다:

데이터베이스 서비스는 관리되는 ID가 연결된 Azure VM에서 실행될 수 있습니다. 이는 프로덕션 환경에서 데이터베이스 서비스를 배포하는 권장 방법으로, Azure 자격 증명을 관리할 필요가 없기 때문입니다.
데이터베이스 서비스는 Azure AD 애플리케이션으로 등록되고(AD의 "앱 등록"을 통해) 해당 자격 증명으로 구성될 수 있습니다. 이는 Azure 자격 증명이 데이터베이스 서비스의 환경에 있어야 하므로 개발 및 테스트 목적으로만 권장됩니다.

Azure 포털의 Managed Identities 페이지로 이동하여 생성 버튼을 클릭하여 새로운 사용자 할당 관리 ID를 생성하세요:

새로운 ID에 대한 이름과 리소스 그룹을 선택하고 생성하세요.

생성된 ID의 클라이언트 ID를 기록해 두세요.

다음으로, 데이터베이스 서비스 인스턴스를 실행할 Azure VM으로 이동하여 방금 생성한 ID를 추가하세요.

이 ID를 데이터베이스 서비스를 실행할 모든 Azure VM에 연결하세요.

Note

데이터베이스 서비스를 Azure AD 애플리케이션으로 등록하는 것은 다음에 적합합니다 테스트 및 개발 시나리오 또는 데이터베이스 서비스가 실행되지 않는 경우 Azure VM. 프로덕션 시나리오의 경우 관리되는 ID를 사용하는 것을 선호합니다 접근.

Azure Active Directory의 앱 등록 페이지로 이동하여 새 등록을 클릭하세요:

새 애플리케이션의 이름(예: DatabaseService)을 선택하고 등록하세요. 앱이 생성되면 애플리케이션(클라이언트) ID를 기록하고 인증서 또는 비밀 추가를 클릭하세요.

데이터베이스 서비스 에이전트가 Azure API에 인증할 때 사용할 새로운 클라이언트 비밀을 생성하세요.

Teleport Database Service는 Azure SDK의 기본 자격 증명 제공자 체인을 사용하여 자격 증명을 찾습니다. Azure SDK 인증을 참조하여 귀하의 사용 사례에 적합한 방법을 선택하세요. 예를 들어, 클라이언트 비밀을 사용한 환경 기반 인증을 사용하려면 데이터베이스 서비스에 다음 환경 변수가 설정되어야 합니다:

export AZURE_TENANT_ID=export AZURE_CLIENT_ID=export AZURE_CLIENT_SECRET=

3단계/5. Teleport에 대한 IAM 권한 구성

사용자 정의 역할 만들기

Teleport는 MySQL 및 PostgreSQL 데이터베이스를 발견하고 등록하기 위해 Azure IAM 권한이 필요합니다. Teleport가 발견해야 할 모든 데이터베이스를 포함하는 할당 가능한 범위가 있는 역할을 만듭니다. 예를 들어:

{
    "properties": {
        "roleName": "TeleportDiscovery",
        "description": "Teleport가 MySQL과 PostgreSQL 데이터베이스를 발견할 수 있게 합니다",
        "assignableScopes": [
            "/subscriptions/11111111-2222-3333-4444-555555555555"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.DBforMySQL/servers/read",
                    "Microsoft.DBforPostgreSQL/servers/read",
                    "Microsoft.DBforMySQL/flexibleServers/read",
                    "Microsoft.DBforPostgreSQL/flexibleServers/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

이 역할 정의는 Teleport가 MySQL 및 PostgreSQL 데이터베이스를 발견할 수 있게 하지만, Teleport는 사용자에게 필요한 데이터베이스 유형에만 대한 권한이 필요합니다. 할당 가능한 범위에는 구독이 포함되어 있어, 해당 구독 내의 모든 리소스 범위에서 역할을 할당할 수 있습니다.

사용자 정의 역할 할당 가능한 범위

사용자 정의 역할은 Azure 내장 역할와 달리 루트 할당 가능한 범위를 가질 수 없습니다. 사용자 정의 역할에서 사용할 수 있는 가장 높은 할당 가능한 범위는 구독 범위입니다. 관리 그룹 범위를 사용하는 것은 현재 Azure 미리 보기 기능이며, 역할 정의의 "assignableScopes"에서 단일 관리 그룹만 허용됩니다. Azure RBAC 사용자 정의 역할에 대한 자세한 내용은 여기를 참조하십시오.

구독 페이지로 이동하여 구독을 선택합니다.

구독에서 *액세스 제어(IAM)*을 클릭하고 추가 > 사용자 정의 역할 추가를 선택합니다:

사용자 정의 역할 생성 페이지에서 JSON 탭을 클릭하고 편집을 클릭한 후, JSON 예제를 붙여 넣고 "assignableScopes"에서 귀하의 구독 ID로 교체합니다:

Teleport 데이터베이스 서비스 주체에 대한 역할 할당 만들기

(!docs/pages/includes/database-access/azure-assign-service-principal.mdx!)

4단계/5. Azure 데이터베이스 사용자 생성

Teleport가 서비스 주체로서 Azure 데이터베이스에 연결할 수 있게 하려면, 데이터베이스에 해당 주체로 인증된 Azure AD 사용자들을 생성해야 합니다.

Azure AD 관리자 할당

데이터베이스에 연결하고 Azure AD 사용자를 생성할 수 있는 것은 데이터베이스의 Azure AD 관리자만 가능합니다.

데이터베이스의 인증 페이지로 이동하여 편집 버튼을 사용하여 AD 관리자를 설정합니다:

데이터베이스의 인증 페이지로 이동하여 + Azure AD 관리자를 추가를 선택하여 AD 관리자를 설정합니다:

데이터베이스의 Active Directory 관리자 페이지로 이동하여 관리자 설정 버튼을 사용하여 AD 관리자를 설정합니다:

Azure AD 관리자

데이터베이스의 Azure AD 관리자에는 하나의 Azure 사용자(또는 그룹)만 설정될 수 있습니다. Azure AD 관리자가 서버에서 제거되면, 해당 서버에 대한 모든 Azure AD 로그인이 비활성화됩니다. 동일한 테넌트에서 새 Azure AD 관리자를 추가하면 Azure AD 로그인이 다시 활성화됩니다. Azure PostgreSQL에 대한 Azure Active Directory 사용법에 대한 자세한 내용은 여기를 참조하십시오.

AD 관리자 사용자로 데이터베이스 연결

다음으로, AD 관리자 사용자로 데이터베이스에 연결해야 합니다.

Azure az CLI 유틸리티를 사용하여 AD 관리자로 설정한 사용자로 로그인하고, 액세스 토큰을 가져와서 데이터베이스에 연결할 때 비밀번호로 사용합니다:

az login -u ad@example.com
TOKEN=`az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken`
PGPASSWORD=$TOKEN psql "host=example.postgres.database.azure.com user=ad@example.com sslmode=require dbname=postgres"

az login -u ad@example.com
TOKEN=`az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken`
PGPASSWORD=$TOKEN psql "host=example.postgres.database.azure.com user=ad@example.com@instance-name sslmode=require dbname=postgres"

az login -u ad-admin@example.com
TOKEN=`az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken`
mysql -h example.mysql.database.azure.com -P 3306 -u ad@example.com --enable-cleartext-plugin --password=$TOKEN

az login -u ad-admin@example.com
TOKEN=`az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken`
mysql -h example.mysql.database.azure.com -P 3306 -u ad@example.com@instance-name --enable-cleartext-plugin --password=$TOKEN

데이터베이스 사용자 이름에는 사용자가 연결하려는 Azure 데이터베이스 인스턴스의 이름인 @instance-name 접미사가 포함되어야 합니다.

AD 사용자 생성

AD 관리자로 데이터베이스에 연결한 후, Teleport 데이터베이스 서비스가 사용할 서비스 주체를 위해 데이터베이스 사용자를 생성합니다. 관리 식별자를 사용할 경우 Client ID 사용하고, 앱 등록을 사용할 경우 Application (client) ID를 사용합니다:

postgres=> SET aad_validate_oids_in_tenant = off;
SET
postgres=> CREATE ROLE teleport WITH LOGIN PASSWORD '11111111-2222-3333-4444-555555555555' IN ROLE azure_ad_user;
CREATE ROLE

postgres=> SELECT * FROM pgaadauth_create_principal_with_oid('teleport', '11111111-2222-3333-4444-555555555555', 'service', false, false);
-------------------------------------
 Created role for teleport
(1 row)

mysql> SET aad_auth_validate_oids_in_tenant = OFF;
mysql> CREATE AADUSER 'teleport' IDENTIFIED BY '11111111-2222-3333-4444-555555555555';
Query OK, 0 rows affected (0.92 sec)

생성된 사용자는 기본적으로 아무것도 접근할 수 없으므로 일부 권한을 부여합니다:

GRANT ALL ON `%`.* TO 'teleport'@'%';

서비스 주체에 의해 식별된 여러 데이터베이스 사용자를 생성할 수 있습니다.

5단계/5. 연결

Teleport 클러스터에 로그인합니다. Azure 데이터베이스가 사용 가능한 데이터베이스 목록에 나타납니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
이름      설명                레이블
-------- ------------------- -------
azure-db                     env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름      설명                레이블
-------- ------------------- -------
azure-db                     env=dev

데이터베이스의 자격 증명을 검색하고 연결하려면:

tsh db connect --db-user=teleport azure-db

tsh db connect --db-user=teleport --db-name=postgres azure-db

Note

적절한 데이터베이스 명령줄 클라이언트(psql, mysql)는 tsh db connect를 실행하는 머신의 PATH에 있어야 합니다.

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

tsh db logout azure-db

문제 해결

Teleport 권한을 부여하려면, 생성한 사용자 지정 역할을 Teleport 서비스 주체(앞서 생성한 관리 ID 또는 앱 등록)에 할당해야 합니다.

역할 할당을 수행할 리소스 범위로 이동합니다. *Access control (IAM)*을 클릭하고 Add > Add role assignment를 선택합니다. 역할로는 생성한 사용자 지정 역할을 선택하고, 구성원으로는 Teleport 서비스 주체를 선택하세요.

Azure Role Assignments

Azure 역할 할당은 Teleport Database Service가 모든 관련 데이터베이스를 검색할 수 있도록 충분히 높은 범위에서 이루어져야 합니다. Azure 범위 및 역할 할당에 대한 자세한 정보는 필요한 범위 식별 을 참조하세요.

쿼리를 취소할 수 없습니다

psql과 같은 PostgreSQL CLI 클라이언트를 사용하고 ctrl+c로 쿼리를 취소하려고 시도했지만 쿼리가 취소되지 않는 경우, 대신 tsh 로컬 프록시를 사용하여 연결해야 합니다. psql이 쿼리를 취소할 때 TLS 인증서 없이 새 연결을 설정하지만, Teleport는 인증을 위해뿐만 아니라 데이터베이스 연결을 라우팅하기 위해서도 TLS 인증서를 필요로 합니다.

만약 당신이 Teleport에서 TLS 라우팅을 활성화하면 tsh db connect는 모든 연결에 대해 자동으로 로컬 프록시를 시작합니다. 대안으로, 로컬 프록시를 사용하는 Teleport Connect를 통해 연결할 수 있습니다. 그렇지 않으면 tsh proxy db를 사용하여 수동으로 tsh 로컬 프록시를 시작하고 로컬 프록시를 통해 연결해야 합니다.

psql 세션에서 ctrl+c로 취소할 수 없는 장기 실행 쿼리를 이미 시작한 경우, 해당 쿼리를 수동으로 취소하기 위해 새 클라이언트 세션을 시작할 수 있습니다:

먼저, 쿼리의 프로세스 식별자(PID)를 찾습니다:

{{ PIDQuery }}

다음으로, PID를 사용하여 쿼리를 정상적으로 취소합니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGINT 신호를 보냅니다:

SELECT pg_cancel_backend(<PID>);

항상 먼저 쿼리를 정상 종료하려고 시도해야 하지만, 정상 취소가 너무 오래 걸리는 경우, 대신 쿼리를 강제로 종료할 수 있습니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGTERM 신호를 보냅니다:

SELECT pg_terminate_backend(<PID>);

pg_cancel_backend 및 pg_terminate_backend 함수에 대한 더 많은 정보는 PostgreSQL 문서의 관리자 함수를 참조하십시오.

SSL SYSCALL error

다음은 로컬 psql이 최신 버전의 OpenSSL과 호환되지 않을 때 발생할 수 있는 오류 메시지입니다:

$ tsh db connect --db-user postgres --db-name postgres postgres
psql: error: connection to server at "localhost" (::1), port 12345 failed: Connection refused
    Is the server running on that host and accepting TCP/IP connections?
connection to server at "localhost" (127.0.0.1), port 12345 failed: SSL SYSCALL error: Undefined error: 0

이 문제를 해결하려면 로컬 psql을 최신 버전으로 업그레이드하세요.

다음 단계

특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
고가용성(HA) 가이드를 확인하세요.
YAML 구성 참조를 살펴보세요.
전체 CLI 참조를 확인하세요.

Teleport 원문 보기