Teleport는 Teleport Database Service를 통해 Oracle Exadata에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

1. Oracle Exadata 데이터베이스 with mTLS authentication를 구성합니다.
2. 데이터베이스를 Teleport 클러스터에 추가합니다.
3. Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport Database Service는 상호 TLS를 사용하여 자체 호스팅된 Oracle 데이터베이스에 인증합니다. Oracle는 데이터베이스 클라이언트를 위한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport Database Service는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자의 클라이언트 트래픽을 프록시합니다.

• Teleport Enterprise (Self-Hosted)
• Teleport Enterprise (Cloud)

전제 조건

• 실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하기 무료 체험판을 이용해 보세요.

• tctl 관리 도구 및 tsh 클라이언트 도구 버전 >= 16.2.0.

  tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하세요.

• Oracle Exadata 서버 인스턴스 19c 이상.
• sqlcl Oracle 클라이언트가 설치되어 있으며 시스템의 PATH 환경 변수에 추가되어야 하거나 JDBC를 지원하는 GUI 클라이언트.
• 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:

  tsh login --proxy=teleport.example.com --user=email@example.com
  tctl status
  클러스터  teleport.example.com
  버전  16.2.0
  CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

  클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/6. Oracle Exadata 구성

데이터베이스별 구성 업데이트

opc 사용자로 로그인하여 Oracle Exadata VM에 연결한 다음 oracle 사용자로 전환하세요:

$ ssh opc@demodb-vm
$ sudo su - oracle

각 데이터베이스별 Oracle 홈의 $ORACLE_HOME/network/admin/sqlnet.ora 파일을 다음 항목으로 업데이트하세요:

SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (ALL)

예를 들어, spark라는 이름의 데이터베이스가 있는 경우 oracle 사용자는 자동으로 생성된 /home/oracle/spark.env 파일에 접근할 수 있어야 하며, 이 파일에는 데이터베이스별 환경 변수가 포함되어 있습니다. 이 파일을 소스한 후, 경로 $ORACLE_HOME/network/admin/sqlnet.ora는 spark 데이터베이스 및 관련 Oracle 홈에 대한 sqlnet.ora 파일을 가리킵니다.

'spark' 데이터베이스의 환경 변수를 로드합니다.
. spark.env

$ORACLE_HOME/network/admin/sqlnet.ora에서 구성 파일을 편집합니다.
...

필요에 따라 각 추가 데이터베이스 또는 데이터베이스 홈에 대해 이러한 단계를 반복하세요.

Oracle 사용자 계정 구성

Oracle 사용자 계정은 유효한 클라이언트 인증서를 요구하도록 구성되어야 합니다.

CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
GRANT CREATE SESSION TO alice;

ALTER USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';

Teleport 데이터베이스 클라이언트 CA 신뢰

Teleport는 Oracle Exadata와 함께 상호 TLS 인증을 사용합니다. 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증서 기관으로 구성해야 합니다.

로컬 머신에서 Teleport 데이터베이스 클라이언트 CA를 내보내고 이를 대상 Oracle Exadata VM으로 복사합니다.

Teleport의 데이터베이스 클라이언트 인증서를 내보냅니다.
tctl auth export --type=db-client > teleport-db-client-ca.crt
CA를 Oracle Exadata VM으로 복사합니다.
scp teleport-db-client-ca.crt opc@demodb-vm:/tmp/teleport-db-client-ca.crt

grid 사용자로서, Teleport 사용자 데이터베이스 CA를 신뢰하도록 그리드 TCPS 지갑을 업데이트합니다.

지갑 비밀번호를 읽습니다.
mkstore -wrl /u01/app/oracle/admin/cprops/cprops_wallet -nologo -viewEntry grid_tcps_wallet_passwd
grid_tcps_wallet_passwd = <지갑 비밀번호>
지갑 TCPS를 업데이트합니다; 프롬프트에서 비밀번호를 제공하세요.
orapki wallet add -wallet "/var/opt/oracle/dbaas_acfs/grid/tcps_wallets" -trusted_cert -cert /tmp/teleport-db-client-ca.crt

TLS 인증을 위한 그리드 리스너 활성화

$ORACLE_HOME/network/admin/listener.ora에서 그리드 리스너 구성을 조정하여 TLS 인증을 활성화합니다.

SSL_CLIENT_AUTHENTICATION = TRUE

리스너 재시작

작업이 끝나면 리스너를 재시작하세요.

lsnrctl stop
lsnrctl start

2단계/6. 데이터베이스 구성 데이터 수집

Oracle에서 내장된 데이터베이스 인증서를 내보냅니다. Teleport는 이 인증서를 사용하여 데이터베이스 연결을 확인합니다.

데이터베이스 인증서를 내보냅니다. "-dn" 매개변수를 실제 설정에 맞게 업데이트하세요.
orapki wallet export -wallet "/var/opt/oracle/dbaas_acfs/grid/tcps_wallets" -dn "CN=demodb-vm-scan.exadatadomain.oke.oraclevcn.com" -cert /tmp/oracle-server-certificate.crt

/tmp/oracle-server-certificate.crt 파일을 임시 위치에 저장합니다. 최종 위치는 Teleport 설치 방법에 따라 다르며, 다음 단계에서 자세히 설명합니다.

로컬 리스너의 TCPS 주소를 확인합니다. 이 주소는 Teleport가 연결에 사용할 것입니다. 아래 예에서 주소는 10.20.30.40:2484입니다.

sqlplus / as sysdba
...
SQL> SHOW PARAMETER local_listener;
. NAME           TYPE   VALUE
. -------------- ------ ------------------------------
. local_listener string (ADDRESS=(PROTOCOL=TCP)(HOST=10.20.30.40)(PORT=1521)),
.                       (ADDRESS=(PROTOCOL=TCPS)(HOST=10.20.30.40)(PORT=2484))

3단계/6. 데이터베이스 서비스 구성 및 시작

Teleport 가입 토큰 생성

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this  

Teleport 데이터베이스 서비스

Teleport를 설치하고 구성하여 Teleport 데이터베이스 서비스를 실행할 위치에 설치합니다:

Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.asc
OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport APT 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v16" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null

sudo apt-get update
sudo apt-get install teleport-ent

sudo apt-get install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"
sudo yum install teleport-ent
팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo yum install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport Zypper 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")
sudo yum install teleport-ent
팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo yum install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
dnf 구성 관리자 플러그인을 사용하여 teleport RPM repo 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"

teleport 설치
sudo dnf install teleport-ent

팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo dnf install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
Teleport Zypper 저장소 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
Zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport-zypper.repo")

teleport 설치
sudo zypper install teleport-ent

sudo zypper install teleport-ent-fips

curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz.sha256
<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz
shasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz
체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz
cd teleport-ent
sudo ./install

curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256
<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz
shasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz
체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz
cd teleport-ent
sudo ./install

Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.asc
OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport APT 리포지토리 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

리포지토리 업데이트 및 Teleport 및 Teleport 업데이트 도구 설치
sudo apt-get update
sudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater

OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 도구 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
dnf 구성 관리자 플러그인을 사용하여 teleport RPM 리포 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 도구 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport Zypper 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
Zypper를 사용하여 teleport RPM 리포 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 도구 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=example.teleport.sh:443 \   --name="oracle" \   --protocol=oracle \   --uri="10.20.30.40:2484" \   --ca-cert-file="/var/lib/teleport/oracle-server-certificate.crt" \   --labels=env=dev

db_service:
  enabled: true
  databases:
  - name: oracle
    uri: "10.20.30.40:2484"
    protocol: oracle
    tls:
      mode: verify-ca
      ca_cert_file: /var/lib/teleport/oracle-server-certificate.crt

sudo systemctl enable teleport
sudo systemctl start teleport

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

kubectl create secret generic db-ca --from-file=ca.pem=/path/to/oracle-server-certificate.crt

roles: db
proxyAddr: example.teleport.sh
enterprise: true
authToken: "JOIN_TOKEN"
databases:
  - name: oracle
    uri: "10.20.30.40:2484"
    protocol: oracle
    static_labels:
      env: dev
    tls:
      mode: verify-ca
      ca_cert_file: /etc/teleport-tls-db/db-ca/ca.pem
extraVolumes:
  - name: db-ca
    secret:
      secretName: db-ca
extraVolumeMounts:
  - name: db-ca
    mountPath: /etc/teleport-tls-db/db-ca
    readOnly: true

helm repo add teleport https://charts.releases.teleport.dev

helm repo update

helm install teleport-kube-agent teleport/teleport-kube-agent \   --create-namespace \   --namespace teleport-agent \   --version 16.2.0 \   -f values.yaml

kubectl -n teleport-agent get pods
NAME                    READY   STATUS    RESTARTS   AGEteleport-kube-agent-0   1/1     Running   0          32s

4단계/6. (선택 사항) Teleport가 Oracle 감사 로그를 가져오도록 구성

Teleport는 Oracle 감사 로그를 Oracle 감사 추적에서 가져올 수 있습니다. 이 기능을 활성화하기 위해서는 Oracle 감사 추적을 구성하고 Oracle 감사 추적에서 감사 이벤트를 가져오는 데 사용할 전용 Teleport 사용자 계정을 만들어야 합니다.

감사 이벤트를 가져오는 내부 Oracle teleport 사용자를 생성합니다:

CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;

Oracle 감사 추적에서 테이블을 활성화합니다:

ALTER system SET audit_trail=db,extended scope=spfile;

감사 추적 변경 사항을 전파하기 위해 Oracle 인스턴스를 재시작합니다.

alice 사용자에 대해 Oracle 감사를 활성화합니다:

AUDIT ALL STATEMENTS by alice BY access;

Oracle에 연결하는 모든 Teleport 사용자에 대해 감사를 활성화해야 합니다. 또한 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.

Oracle 감사 추적에서 감사 로그를 가져오기 위해 Teleport 데이터베이스 서비스를 구성합니다:

db_service:
  enabled: "yes"
  databases:
  - name: oracle
    protocol: "oracle"
    uri: "10.20.30.40:2484"
    oracle:
      audit_user: "teleport"
    tls:
      mode: verify-ca
      ca_cert_file: /var/lib/teleport/oracle-server-certificate.crt

Teleport는 Oracle 감사 추적에서 감사 추적 이벤트를 정리하지 않습니다. 디스크 공간이 부족해지지 않도록 Oracle 감사 추적 정리 정책을 구성해야 합니다.

5단계/6. Teleport 사용자 생성

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.

6단계/6. 연결

데이터베이스 서비스가 클러스터에 가입한 후, 사용 가능한 데이터베이스를 보려면 로그인합니다:

tsh login --proxy=example.teleport.sh --user=alice
tsh db ls
이름   설명    허용된 사용자 레이블  연결
------ -------------- ------------- ------- -------
oracle         [*]                   env=dev

"oracle" 데이터베이스에 연결합니다. --db-name 매개변수로 올바른 서비스 이름을 전달하십시오.

Oracle Exadata VM에서 데이터베이스 구성을 검사하여 서비스 이름을 확인할 수 있습니다.

> lsnrctl services | grep paasService "spark_PDB1.paas.oracle.com" has 1 instance(s).

tsh db connect --db-user alice --db-name spark_PDB1.paas.oracle.com oracle
SQLcl: Release 24.2 Production on Fri Aug 09 15:29:41 2024
Copyright (c) 1982, 2024, Oracle.  All rights reserved.
연결됨:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.24.0.0.0
SQL> select user from dual;
사용자
________
ALICE
SQL>

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

특정 데이터베이스 인스턴스에 대한 자격 증명을 제거합니다.
tsh db logout oracle
모든 데이터베이스 인스턴스에 대한 자격 증명을 제거합니다.
tsh db logout

다음 단계

• 특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.

• 고가용성(HA) 가이드를 확인하세요.

• YAML 구성 참조를 살펴보세요.

• 전체 CLI 참조를 확인하세요.

다음 문서에 대해 읽어보세요:

• Oracle 감사 추적
• sqlnet.ora 및 listener.ora 구성
• Oracle Exadata
• Oracle Real Application Clusters (RAC)