Teleport는 Teleport Database Service를 통해 MongoDB Atlas에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.
이 가이드에서는 다음을 수행합니다:
- MongoDB Atlas 데이터베이스 상호 TLS 또는 AWS IAM 인증을 사용하여를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport 데이터베이스 서비스는 상호 TLS 또는 AWS IAM을 사용하여 MongoDB Atlas와 통신합니다:
- 상호 TLS: MongoDB Atlas를 구성하여 데이터베이스 클라이언트를 위한 Teleport 인증서 권한을 신뢰하고, Teleport는 MongoDB Atlas를 위한 인증서를 서명하는 Let's Encrypt CA를 신뢰하도록 구성합니다. 사용자가 Teleport를 통해 MongoDB Atlas에 연결할 때, Teleport 데이터베이스 서비스는 인증서로 인증하고 사용자 트래픽을 MongoDB Atlas로 전달합니다.
- AWS IAM: MongoDB 사용자를 "MONGODB-AWS" 인증 메커니즘을 사용하도록 구성하고, Teleport는 MongoDB Atlas를 위한 인증서를 서명하는 Let's Encrypt CA를 신뢰하도록 구성합니다. 사용자가 Teleport를 통해 MongoDB Atlas에 연결할 때, Teleport 데이터베이스 서비스는 인증을 위해 관련 IAM 역할을 수행하고 사용자 트래픽을 MongoDB Atlas로 전달합니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
- MongoDB Atlas 클러스터.
- Teleport 데이터베이스 서비스를 실행할 Amazon EC2 인스턴스와 같은 호스트.
- 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login
으로 로그인한 다음 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결하고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl
명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다.
단계 1/4. Teleport 데이터베이스 서비스 설정
Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl
명령을 실행하고 토큰 출력을 /tmp/token
에 저장하세요.
Database 서비스가 실행될 서버에서:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
Teleport 데이터베이스 서비스를 실행할 호스트에 Teleport를 설치합니다:
Linux 서버에 Teleport 설치하기:
-
Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:
에디션 값 Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss
-
설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')" -
Linux 서버에 Teleport를 설치합니다:
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.
다음으로, 데이터베이스 서비스를 시작합니다.
데이터베이스 서비스를 실행할 노드에서 Teleport를 시작하고 --auth-server
플래그를 Teleport 프록시 서비스의 주소로 지정합니다:
sudo teleport db start \ --token=/tmp/token \ --auth-server=example.teleport.sh:443 \ --name=mongodb-atlas \ --protocol=mongodb \ --uri=mongodb+srv://cluster0.abcde.mongodb.net \ --labels=env=dev
--auth-server
플래그는 Teleport 클러스터의 프록시 서비스 엔드포인트를 가리켜야 합니다.
데이터베이스 서비스는 항상 리버스 터널을 통해 클러스터에 연결합니다.
데이터베이스 서비스를 실행할 노드에서 /etc/teleport.yaml
에 다음을 추가합니다:
version: v3
teleport:
auth_token: "/tmp/token"
proxy_server: example.teleport.sh:443
# 기본적으로 활성화된 서비스를 비활성화합니다.
ssh_service: { enabled: no }
proxy_service: { enabled: no }
auth_service: { enabled: no }
db_service:
enabled: "yes"
databases:
- name: "mongodb-atlas"
protocol: "mongodb"
uri: "mongodb+srv://cluster0.abcde.mongodb.net"
static_labels:
env: "dev"
호스트가 부팅될 때 Teleport 데이터베이스 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 Teleport 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:
sudo systemctl enable teleportsudo systemctl start teleport
Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
Teleport 데이터베이스 서비스의 상태는 systemctl status teleport
로 확인할 수 있으며, 로그는 journalctl -fu teleport
로 볼 수 있습니다.
Teleport 데이터베이스 서비스 구성을 위한 전체 YAML 참조를 참고하세요.
Teleport 데이터베이스 서비스를 구성하는 방법에 대한 자세한 내용은 아래를 참조하세요.
연결 엔드포인트
db_service.databases[*].uri
구성 옵션 또는 --uri
CLI 플래그에 대해 Atlas 클러스터의 연결 엔드포인트를 제공해야 합니다. 데이터베이스 배포 개요 페이지의 연결 대화 상자를 통해 찾을 수 있습니다:
"연결 보안 설정" 단계로 진행하고 "MongoDB 셸로 연결"을 선택하여 연결 문자열을 확인합니다:
URI에 연결 문자열의 스킴 및 호스트 이름 부분만 사용합니다:
--uri=mongodb+srv://cluster0.abcde.mongodb.net
단계 2/4. Teleport 사용자 생성
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.
내장된 access
역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access
및 requester
역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
Flag | Description |
---|---|
--roles | 사용자에게 할당할 역할 목록입니다. 내장된 access 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다. |
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.
사용자에 대한 데이터베이스 이름을 더 엄격하게 선택하려면, 이 가이드에서 설명된 와일드카드 접근 방식과 다르게 admin
데이터베이스를 포함하는 것이 필수적입니다. 이렇게 하면 MongoDB 클라이언트가 서버 정보를 검색하고, 데이터베이스를 나열하고, 트랜잭션을 중단하는 등의 작업을 수행할 때 문제가 발생하지 않도록 보장할 수 있습니다.
단계 3/4. Atlas 구성
Teleport MongoDB Atlas 통합은 두 가지 인증 방법을 지원합니다:
- 자체 관리형 X.509: 이 방법은 인증을 위해 인증서에 의존하며, MongoDB Atlas는 Teleport 인증서를 신뢰합니다.
- AWS IAM: AWS 자격 증명을 사용하여 Teleport가 인증을 수행합니다.
먼저 tctl auth sign
명령을 사용하여 Teleport 클러스터에 대해 Teleport CA 인증서를 얻습니다:
tctl auth sign --format=mongodb --host=mongo --out=mongo
--host
및 --ttl
플래그의 값은 이 경우 중요하지 않으며, 이 명령은 mongo.cas
파일에 CA 인증서만 출력합니다. 다른 mongo.crt
파일은 삭제할 수 있습니다.
Atlas 클러스터의 보안 / 고급 구성 섹션으로 이동하여 "자체 관리형 X.509 인증"을 활성화합니다:
mongo.cas
파일의 내용을 인증서 권한 편집 상자에 붙여넣고 저장을 클릭합니다.
MongoDB 사용자 생성
보안 / 데이터베이스 접근 페이지에서 인증서 인증 방법을 사용하여 새 데이터베이스 사용자를 추가합니다:
MongoDB는 전체 인증서 주제를 사용자 이름으로 처리하므로 사용자를 CN=<user>
로 지정해야 합니다. MongoDB 클러스터에 연결할 때 사용자가 alice
로 지정하면, Teleport는 CN=alice
주제를 가진 임시 인증서를 서명합니다.
대소문자가 중요하므로 사용자 이름에 Common Name을 대문자로 CN=
으로 지정해야 합니다.
Teleport 데이터베이스 서비스에 AWS 자격 증명에 대한 접근을 제공해야 합니다.
your Teleport instance에 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여합니다.
your Teleport instance를 EC2 인스턴스에서 실행하는 경우 EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다. 그렇지 않은 경우 환경 변수를 사용해야 합니다:
Teleport는 EC2 인스턴스에서 실행될 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.
EC2 인스턴스는 EC2 인스턴스 프로파일을 사용하도록 구성되어 있어야 합니다. 자세한 내용은 인스턴스 프로파일 사용하기를 참조하세요.
Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:
AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_DEFAULT_REGION
your Teleport instance를 시작하면 서비스는 /etc/default/teleport
경로의 파일에서 환경 변수를 읽습니다. 이 자격 증명은 귀하의 조직에서 가져오십시오. /etc/default/teleport
에 다음 내용을 포함하고 각 변수의 값을 대체해야 합니다:
AWS_ACCESS_KEY_ID=00000000000000000000
AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000
AWS_DEFAULT_REGION=<YOUR_REGION>
Teleport의 AWS 클라이언트는 자격 증명을 다음 순서로 다양한 출처에서 로드합니다:
- 환경 변수
- 공유 자격 증명 파일
- 공유 구성 파일 (Teleport는 항상 공유 구성을 활성화합니다)
- EC2 인스턴스 메타데이터 (자격 증명 전용)
공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, your Teleport instance를 실행할 때 AWS_PROFILE
환경 변수를 선택한 프로파일의 이름으로 지정해야 합니다.
위의 지침이 고려하지 않은 특정 사용 사례가 있는 경우, 자격 증명 로딩 동작에 대한 자세한 설명을 보려면 AWS SDK for Go의 문서를 참조하십시오.
MongoDB IAM 역할 생성
AWS IAM 콘솔로 이동합니다. 탐색 창에서 역할을 선택한 다음 역할 생성을 선택합니다. 다음으로 "사용자 지정 신뢰 정책" 유형을 선택합니다. Teleport 데이터베이스 서비스 IAM 역할이 이 역할을 맡을 수 있도록 신뢰 정책을 편집하여 필요할 때 MongoDB에 인증하기 위한 자격 증명을 가져오도록 Teleport가 필요합니다:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:role/teleport-database-access",
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
역할에는 어떤 권한도 필요 없으므로 권한 추가 단계에서 비워둘 수 있습니다. 그런 다음 이름을 지정하고 생성을 완료합니다. 이 가이드에서는 teleport-access
라는 이름을 사용할 것입니다.
MongoDB 사용자 생성
보안 / 데이터베이스 접근 페이지에서 AWS IAM 인증 방법을 사용하는 새 데이터베이스 사용자를 추가하고 "IAM 역할"을 IAM 사용자 유형으로 선택합니다. 그런 다음 새로 생성된 IAM 역할의 ARN으로 AWS ARN 필드를 채웁니다. 데이터베이스 사용자 권한 섹션에서 사용자가 원하는 데이터에 접근할 수 있는 충분한 권한을 부여합니다.
Teleport는 AWS IAM 사용자로 인증을 지원하지 않으므로; 오직 AWS IAM 역할을 통한 인증만 지원합니다.
단계 4/4. 연결
Teleport 클러스터에 로그인하여 사용 가능한 데이터베이스를 확인합니다:
tsh login --proxy=teleport.example.com --user=alicetsh db ls이름 설명 라벨
------------- ----------- --------
mongodb-atlas env=dev
tsh login --proxy=mytenant.teleport.sh --user=alicetsh db ls이름 설명 라벨
------------- ----------- --------
mongodb-atlas env=dev
데이터베이스에 대한 자격 증명을 검색하고 연결하려면:
tsh db connect --db-user=alice --db-name dev mongodb-atlas
데이터베이스에 대한 자격 증명을 검색하고 연결하려면, 사용자 이름을 role/<role-name>
형식으로 제공해야 합니다:
tsh db connect --db-user=role/teleport-access --db-name dev mongodb-atlas
또는 데이터베이스 인스턴스에 연결할 때 데이터베이스 사용자 이름으로 전체 ARN을 제공할 수 있습니다:
tsh db connect --db-user=arn:aws:iam::111111111111:role/teleport-access --db-name dev mongodb-atlas
mongosh
또는 mongo
명령줄 클라이언트는 연결하기 위해 PATH
에 있어야 합니다. 데이터베이스 서비스는 먼저 mongosh
를 실행하려고 시도하며, mongosh
가 PATH
에 없으면 mongo
를 실행합니다.
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
특정 데이터베이스 인스턴스에 대한 자격 증명을 제거합니다.
tsh db logout mongodb-atlas모든 데이터베이스 인스턴스에 대한 자격 증명을 제거합니다.
tsh db logout
다음 단계
-
특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
-
고가용성(HA) 가이드를 확인하세요.
-
YAML 구성 참조를 살펴보세요.
-
전체 CLI 참조를 확인하세요.