인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
Oracle Exadata를 통한 데이터베이스 액세스
Teleport은 Teleport Database Service를 통해 Oracle Exadata에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.
이 가이드에서는 다음을 수행합니다:
- Oracle Exadata 데이터베이스 mTLS 인증 사용를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport 데이터베이스 서비스는 상시 호스팅된 Oracle 데이터베이스에 상호 TLS를 사용하여 인증합니다. Oracle는 데이터베이스 클라이언트에 대한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport 데이터베이스 서비스는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자로부터 클라이언트 트래픽을 프록시합니다.
사전 요구 사항
-
실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하여 무료 평가판을 이용해 보십시오.
-
tctl관리자 도구 및tsh클라이언트 도구.tctl및tsh다운로드에 대한 지침은 설치 를 방문하십시오.
- Oracle Exadata 서버 인스턴스 19c 이상.
sqlclOracle 클라이언트 설치 및 시스템의PATH환경 변수에 추가되었거나 JDBC를 지원하는 GUI 클라이언트.- 연결이 가능한지 확인하기 위해
tsh login으로 로그인한 다음, 현재 자격 증명을 사용하여tctl명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결할 수 있고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl명령어를 실행할 수도 있습니다.
1/6단계. Oracle Exadata 구성
Note
이 가이드는 Oracle Exadata 시스템의 기본 구성을 가정합니다. 특히:
- 사전에 구성된 TCPS 리스너.
- 그리드 지갑에 기존 데이터베이스 인증서.
opc사용자가 SSH를 통해 접근할 수 있는 단일 Oracle Exadata VM, 호스트 이름은 demodb-vm입니다. 추가 VM을 구성하려면 이 단계를 반복하십시오.- SCAN DNS 이름은 demodb-vm-scan.exadatadomain.oke.oraclevcn.com입니다.
명령어를 귀하의 구성에 맞게 조정하십시오.
데이터베이스별 구성 업데이트
opc 사용자로 로그인하여 Oracle Exadata VM에 연결한 다음 oracle 사용자로 전환합니다:
ssh opc@demodb-vmsudo su - oracle
각 데이터베이스 전용 Oracle 홈에 대해 $ORACLE_HOME/network/admin/sqlnet.ora 파일에 다음 항목을 업데이트합니다:
SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (ALL)
예를 들어, spark 라는 데이터베이스가 있을 경우 oracle 사용자는 데이터베이스 전용 환경 변수가 포함된 자동 생성된 /home/oracle/spark.env 파일에 접근할 수 있어야 합니다. 이 파일을 소싱한 후에는 경로 $ORACLE_HOME/network/admin/sqlnet.ora 가 spark 데이터베이스 및 해당 Oracle 홈의 sqlnet.ora 파일을 가리킵니다.
'spark' 데이터베이스의 환경 변수 로드
. spark.env$ORACLE_HOME/network/admin/sqlnet.ora에서 구성 파일 편집
필요에 따라 각 추가 데이터베이스 또는 데이터베이스 홈에 대해 이 단계를 반복합니다.
Oracle 사용자 계정 구성
Oracle 사용자 계정이 유효한 클라이언트 인증서를 요구하도록 구성되어야 합니다.
새 사용자 생성:
CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice'; GRANT CREATE SESSION TO alice;
기존 사용자 변경:
ALTER USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
Warning
이 작업은 비밀번호와 같은 기존 인증 방법을 무효화합니다. 인증서는 이 사용자에 대한 유일한 인증 방법이 됩니다.
Teleport 데이터베이스 클라이언트 CA 신뢰 설정
Teleport는 Oracle Exadata와 상호 TLS 인증을 사용합니다. 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증 기관으로 구성해야 합니다.
로컬 머신에서 Teleport 데이터베이스 클라이언트 CA를 내보내고 대상 Oracle Exadata VM에 복사합니다.
Teleport의 데이터베이스 클라이언트 인증 기관 내보내기
tctl auth export --type=db-client > teleport-db-client-ca.crtCA를 Oracle Exadata VM에 복사
scp teleport-db-client-ca.crt opc@demodb-vm:/tmp/teleport-db-client-ca.crt
grid 사용자로 Teleport 사용자 데이터베이스 CA를 신뢰하도록 grid TCPS 지갑을 업데이트합니다.
지갑 비밀번호 읽기
mkstore -wrl /u01/app/oracle/admin/cprops/cprops_wallet -nologo -viewEntry grid_tcps_wallet_passwdgrid_tcps_wallet_passwd = <wallet password>grid TCPS 지갑 업데이트; 비밀번호를 입력하라는 메시지가 표시될 때 제공
orapki wallet add -wallet "/var/opt/oracle/dbaas_acfs/grid/tcps_wallets" -trusted_cert -cert /tmp/teleport-db-client-ca.crt
grid 리스너에 대해 TLS 인증 활성화
$ORACLE_HOME/network/admin/listener.ora 의 grid 리스너 구성을 조정하여 아래 항목으로 TLS 인증을 활성화합니다.
SSL_CLIENT_AUTHENTICATION = TRUE
리스너 재시작
완료되면 리스너를 재시작합니다.
lsnrctl stoplsnrctl start
2/6단계. 데이터베이스 구성 데이터 수집
Oracle에서 내장 데이터베이스 인증서를 내보냅니다. Teleport는 이 인증서를 사용하여 데이터베이스 연결을 검증합니다.
데이터베이스 인증서 내보내기. "-dn" 매개변수를 실제 설정에 맞게 업데이트합니다.
orapki wallet export -wallet "/var/opt/oracle/dbaas_acfs/grid/tcps_wallets" -dn "CN=demodb-vm-scan.exadatadomain.oke.oraclevcn.com" -cert /tmp/oracle-server-certificate.crt
/tmp/oracle-server-certificate.crt 파일을 임시 위치에 저장합니다. 최종 위치는 Teleport 설치 방법에 따라 다르며, 다음 단계에서 자세히 설명됩니다.
로컬 리스너의 TCPS 주소를 확인합니다. 이 주소는 Teleport가 연결하는 데 사용됩니다. 아래 예시에서 주소는 10.20.30.40:2484입니다.
sqlplus / as sysdba...
SQL> SHOW PARAMETER local_listener;
. NAME TYPE VALUE
. -------------- ------ ------------------------------
. local_listener string (ADDRESS=(PROTOCOL=TCP)(HOST=10.20.30.40)(PORT=1521)),
. (ADDRESS=(PROTOCOL=TCPS)(HOST=10.20.30.40)(PORT=2484))
3/6단계. 데이터베이스 서비스 구성 및 시작
Teleport 조인 토큰 생성
Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
Teleport 데이터베이스 서비스
Teleport 데이터베이스 서비스를 실행할 위치에 Teleport를 설치하고 구성합니다:
적절한 명령어를 사용하여 패키지를 설치하세요:
Teleport 에디션
- 기업
- 기업 클라우드
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport APT 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v17" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/nullsudo apt-get updatesudo apt-get install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치합니다:
sudo apt-get install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport YUM 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport.repo")"sudo yum install teleport-ent팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치합니다:
sudo yum install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport Zypper 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")zypper를 사용하여 teleport RPM 리포를 추가합니다.
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")sudo yum install teleport-ent팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치합니다:
sudo yum install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releasev17에 대한 Teleport YUM 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf config manager 플러그인을 사용하여 teleport RPM 리포를 추가합니다.
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport.repo")"teleport 설치
sudo dnf install teleport-ent팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치합니다:
sudo dnf install teleport-ent-fips
OS 버전 관련 변수 소스
source /etc/os-releaseTeleport Zypper 리포지토리 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM 리포를 추가합니다.
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport-zypper.repo")teleport 설치
sudo zypper install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치합니다:
sudo zypper install teleport-ent-fips
아래의 예제 명령에서 $SYSTEM_ARCH 를 적절한
값(amd64 , arm64 , 또는 arm )으로 업데이트하십시오. 이 변수를 사용하는 모든 예제 명령은
하나가 입력된 후 업데이트됩니다.
curl https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gzshasum -a 256 teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gzcd teleport-entsudo ./install
Teleport Enterprise의 FedRAMP/FIPS 준수 설치의 경우, 패키지 URL 는 약간 다르게 됩니다:
curl https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gzshasum -a 256 teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gzcd teleport-entsudo ./install
Teleport 저장소를 저장소 목록에 추가하세요:
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport APT 저장소 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"저장소 업데이트 및 Teleport 및 Teleport 업데이트 설치
sudo apt-get updatesudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater
OS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가하세요 (따라서 'sudo tctl users add'가 문서처럼 작동할 것입니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf 구성 관리자를 사용하여 teleport RPM 저장소 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가하세요 (따라서 'sudo tctl users add'가 문서처럼 작동할 것입니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전 관련 변수 소스
source /etc/os-release클라우드를 위한 Teleport Zypper 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM 저장소 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater
v16 이외의 버전으로 teleport 바이너리를 설치하기 전에,
바이너리가 Teleport 기업 클라우드와 호환되는지 확인하기 위해 호환성 규칙을 읽으세요.
Teleport는 의미 체계 버전 관리(Semantic Versioning)를 사용합니다. 버전 번호는 주 버전, 보조 버전, 패치 버전으로 구성되며, 점으로 구분됩니다. 클러스터 내에서 여러 teleport 바이너리를 실행할 때는 다음 규칙이 적용됩니다:
- 패치 및 보조 버전은 항상 호환됩니다. 예를 들어, 어떤 8.0.1 구성 요소는 어떤 8.0.3 구성 요소와 작동하며, 어떤 8.1.0 구성 요소는 어떤 8.3.0 구성 요소와도 작동합니다.
- 서버는 한 개의 주 버전이 낮은 클라이언트를 지원하지만, 새로운 주 버전의 클라이언트는 지원하지 않습니다. 예를 들어, 8.x.x Proxy Service 인스턴스는 7.x.x 에이전트와 7.x.x
tsh와 호환되지만, 9.x.x 에이전트가 8.x.x Proxy Service 인스턴스와 작동할 것이라고 보장하지 않습니다. 이는 또한 6.x.x에서 8.x.x로 직접 업그레이드하지 않아야 함을 의미합니다. 먼저 7.x.x로 업그레이드해야 합니다. - Proxy Service 인스턴스와 에이전트는 이전 주 버전의 Auth Service 인스턴스를 지원하지 않으며, 기본적으로 이전 Auth Service 인스턴스에 연결할 수 없습니다. 에이전트와 Proxy Service 인스턴스를 시작할 때
--skip-version-check를 전달하여 버전 검사를 무시할 수 있습니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 적절한 구성으로 Teleport를 시작합니다.
하나의 Teleport 프로세스에서 여러 다른 서비스를 실행할 수 있습니다. 예를 들어 여러 데이터베이스 서비스 에이전트와 SSH 서비스 또는 애플리케이션 서비스를 같이 실행할 수 있습니다. 아래 단계에서는 기존 구성 파일을 덮어쓰므로, 여러 서비스를 실행 중이라면 --output=stdout 를 추가하여 터미널에 구성을 출력하고 /etc/teleport.yaml 파일을 수동으로 조정하십시오.
Oracle 데이터베이스 인증서를 복사하고 Teleport 데이터베이스 서비스 호스트의 /var/lib/teleport/oracle-server-certificate.crt 에서 사용할 수 있도록 합니다.
다음 명령을 실행하여 데이터베이스 서비스용 구성 파일을 /etc/teleport.yaml 에 생성합니다.
example.teleport.sh를 Teleport 프록시 서비스의 호스트와 포트로 업데이트합니다:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name="oracle" \ --protocol=oracle \ --uri="10.20.30.40:2484" \ --ca-cert-file="/var/lib/teleport/oracle-server-certificate.crt" \ --labels=env=dev
생성된 구성 파일을 수동으로 수정하여 tls.mode: verify-ca 를 포함합니다.
oracle 데이터베이스의 최종 항목은 다음과 유사하게 됩니다:
db_service:
enabled: true
databases:
- name: oracle
uri: "10.20.30.40:2484"
protocol: oracle
tls:
mode: verify-ca
ca_cert_file: /var/lib/teleport/oracle-server-certificate.crt
호스트가 부팅될 때 the Teleport Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Teleport Database Service를 설치한 방법에 따라 다릅니다.
the Teleport Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:
sudo systemctl enable teleportsudo systemctl start teleport
the Teleport Database Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
systemctl status teleport 로 the Teleport Database Service의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.
데이터베이스 CA 인증서를 Teleport와 동일한 네임스페이스에 비밀로 생성합니다.
kubectl create secret generic db-ca --from-file=ca.pem=/path/to/oracle-server-certificate.crt
다음 내용으로 values.yaml이라는 파일을 만듭니다. JOIN_TOKEN을 tctl tokens add 명령을 사용하여 이전에 만든 조인 토큰으로 업데이트합니다.
roles: db
proxyAddr: example.teleport.sh:443
enterprise: true
authToken: "JOIN_TOKEN"
databases:
- name: oracle
uri: "10.20.30.40:2484"
protocol: oracle
static_labels:
env: dev
tls:
mode: verify-ca
ca_cert_file: /etc/teleport-tls-db/db-ca/ca.pem
extraVolumes:
- name: db-ca
secret:
secretName: db-ca
extraVolumeMounts:
- name: db-ca
mountPath: /etc/teleport-tls-db/db-ca
readOnly: true
Teleport는 Kubernetes 클러스터에서 Teleport 데이터베이스 서비스를 설치하기 위한 Helm 차트를 제공합니다.
Teleport Helm 저장소를 설정합니다.
Helm이 Teleport Helm 저장소에서 호스팅되는 차트를 설치할 수 있도록 허용합니다:
helm repo add teleport https://charts.releases.teleport.dev
원격 저장소의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리스로 업그레이드할 수 있습니다:
helm repo update
차트를 설치합니다:
helm install teleport-kube-agent teleport/teleport-kube-agent \ --create-namespace \ --namespace teleport-agent \ --version 17.0.0-dev \ -f values.yaml
Teleport 에이전트 포드가 실행 중인지 확인하십시오. 하나의 준비된 컨테이너가 있는 teleport-kube-agent 포드를 확인해야 합니다:
kubectl -n teleport-agent get podsNAME READY STATUS RESTARTS AGEteleport-kube-agent-0 1/1 Running 0 32s
4/6단계. (선택 사항) Teleport를 구성하여 Oracle 감사 로그를 가져오기
Teleport는 Oracle 감사 트레일에서 감사 로그를 가져올 수 있습니다.
이 기능을 활성화하려면 Oracle 감사 트레일을 구성하고 감사 이벤트를 가져오는 데 사용될 전용 Teleport 사용자를 생성해야 합니다.
내부 Oracle teleport 사용자를 생성하여 Oracle 감사 트레일에서 감사 이벤트를 가져옵니다:
CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;
Oracle 감사 트레일에서 테이블을 활성화합니다:
ALTER system SET audit_trail=db,extended scope=spfile;
감사 트레일 변경 사항을 전파하려면 Oracle 인스턴스를 재시작합니다.
alice 사용자에 대해 Oracle 감사를 활성화합니다:
AUDIT ALL STATEMENTS by alice BY access;
Oracle에 연결하는 데 사용될 각 Teleport 사용자에 대해 감사를 활성화해야 합니다. 또한 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.
Oracle 감사 트레일에서 감사 로그를 가져오도록 Teleport 데이터베이스 서비스를 구성합니다:
db_service:
enabled: "yes"
databases:
- name: oracle
protocol: "oracle"
uri: "10.20.30.40:2484"
oracle:
audit_user: "teleport"
tls:
mode: verify-ca
ca_cert_file: /var/lib/teleport/oracle-server-certificate.crt
Teleport는 Oracle 감사 트레일에서 감사 트레일 이벤트를 정리하지 않습니다. 디스크 공간 부족을 피하기 위해 Oracle 감사 트레일 정리 정책을 구성해야 합니다.
5/6단계. Teleport 사용자 생성
Tip
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하십시오.
내장된 access 역할을 가진 로컬 Teleport 사용자 생성:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access 및 requester 역할을 가진 로컬 Teleport 사용자 생성:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
| Flag | Description |
|---|---|
--roles | 사용자에게 할당할 역할 목록. 내장된 access 역할은 사용자가 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리 데이터베이스(즉, 스키마) 목록. 와일드카드는 모든 데이터베이스를 허용합니다. |
Warning
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어 및 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하십시오.
6/6단계. 연결
데이터베이스 서비스가 클러스터에 조인한 후, 사용 가능한 데이터베이스를 보려면 로그인하세요:
tsh login --proxy=example.teleport.sh --user=alicetsh db ls이름 설명 허용 사용자 레이블 연결
------ -------------- ------------- ------- -------
oracle [*] env=dev
"oracle" 데이터베이스에 연결합니다. 올바른 서비스 이름을 --db-name 매개변수로 전달합니다.
Oracle Exadata VM에서 데이터베이스 구성을 검사하여 서비스 이름을 확인할 수 있습니다.
> lsnrctl services | grep paasService "spark_PDB1.paas.oracle.com" has 1 instance(s).
tsh db connect --db-user alice --db-name spark_PDB1.paas.oracle.com oracleSQLcl: Release 24.2 Production on Fri Aug 09 15:29:41 2024
Copyright (c) 1982, 2024, Oracle. All rights reserved.
연결됨:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.24.0.0.0
SQL> select user from dual;
사용자
________
ALICE
SQL>
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
특정 데이터베이스 인스턴스의 자격 증명을 제거합니다.
tsh db logout oracle모든 데이터베이스 인스턴스의 자격 증명을 제거합니다.
tsh db logout
다음 단계
- 특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.
- 고가용성(HA) 가이드를 확인하십시오.
- YAML 구성 참조를 살펴보십시오.
- 전체 CLI 참조를 확인하십시오.
다음에 대한 문서를 읽어보세요: