Teleport는 Teleport Database Service를 통해 Oracle Exadata에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.
이 가이드에서는 다음을 수행합니다:
- Oracle Exadata 데이터베이스 with mTLS authentication를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport Database Service는 상호 TLS를 사용하여 자체 호스팅된 Oracle 데이터베이스에 인증합니다. Oracle는 데이터베이스 클라이언트를 위한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport Database Service는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자의 클라이언트 트래픽을 프록시합니다.
전제 조건
-
실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하기 무료 체험판을 이용해 보세요.
-
tctl관리 도구 및tsh클라이언트 도구 버전 >= 16.2.0.tctl및tsh다운로드 방법에 대한 지침은 설치를 방문하세요.
- Oracle Exadata 서버 인스턴스 19c 이상.
sqlclOracle 클라이언트가 설치되어 있으며 시스템의PATH환경 변수에 추가되어야 하거나 JDBC를 지원하는 GUI 클라이언트.- 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login으로 로그인한 다음 현재 자격 증명을 사용하여tctl명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결하고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로tctl명령어를 실행할 수도 있습니다.
1단계/6. Oracle Exadata 구성
이 가이드는 Oracle Exadata 시스템의 기본 구성을 가정합니다. 특히:
- 미리 구성된 TCPS 리스너.
- 그리드 지갑에 있는 기존 데이터베이스 인증서.
opc사용자가 SSH를 통해 접근할 수 있는 단일 Oracle Exadata VM이 호스트 이름 demodb-vm으로 접근 가능합니다. 추가 VM을 구성하려면 단계를 반복하세요.- SCAN DNS 이름은 demodb-vm-scan.exadatadomain.oke.oraclevcn.com입니다.
명령어를 귀하의 구성에 맞게 조정하세요.
데이터베이스별 구성 업데이트
opc 사용자로 로그인하여 Oracle Exadata VM에 연결한 다음 oracle 사용자로 전환하세요:
$ ssh opc@demodb-vm
$ sudo su - oracle
각 데이터베이스별 Oracle 홈의 $ORACLE_HOME/network/admin/sqlnet.ora 파일을 다음 항목으로 업데이트하세요:
SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (ALL)
예를 들어, spark라는 이름의 데이터베이스가 있는 경우 oracle 사용자는 자동으로 생성된 /home/oracle/spark.env 파일에 접근할 수 있어야 하며, 이 파일에는 데이터베이스별 환경 변수가 포함되어 있습니다. 이 파일을 소스한 후, 경로 $ORACLE_HOME/network/admin/sqlnet.ora는 spark 데이터베이스 및 관련 Oracle 홈에 대한 sqlnet.ora 파일을 가리킵니다.
'spark' 데이터베이스의 환경 변수를 로드합니다.
. spark.env$ORACLE_HOME/network/admin/sqlnet.ora에서 구성 파일을 편집합니다.
...
필요에 따라 각 추가 데이터베이스 또는 데이터베이스 홈에 대해 이러한 단계를 반복하세요.
Oracle 사용자 계정 구성
Oracle 사용자 계정은 유효한 클라이언트 인증서를 요구하도록 구성되어야 합니다.
새 사용자 생성:
CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
GRANT CREATE SESSION TO alice;
기존 사용자 변경:
ALTER USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
이 작업은 비밀번호와 같은 기존 인증 방법을 무효화합니다. 인증서 기반 인증이 이 사용자에 대한 유일한 인증 방법이 됩니다.
Teleport 데이터베이스 클라이언트 CA 신뢰
Teleport는 Oracle Exadata와 함께 상호 TLS 인증을 사용합니다. 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증서 기관으로 구성해야 합니다.
로컬 머신에서 Teleport 데이터베이스 클라이언트 CA를 내보내고 이를 대상 Oracle Exadata VM으로 복사합니다.
Teleport의 데이터베이스 클라이언트 인증서를 내보냅니다.
tctl auth export --type=db-client > teleport-db-client-ca.crtCA를 Oracle Exadata VM으로 복사합니다.
scp teleport-db-client-ca.crt opc@demodb-vm:/tmp/teleport-db-client-ca.crt
grid 사용자로서, Teleport 사용자 데이터베이스 CA를 신뢰하도록 그리드 TCPS 지갑을 업데이트합니다.
지갑 비밀번호를 읽습니다.
mkstore -wrl /u01/app/oracle/admin/cprops/cprops_wallet -nologo -viewEntry grid_tcps_wallet_passwdgrid_tcps_wallet_passwd = <지갑 비밀번호>지갑 TCPS를 업데이트합니다; 프롬프트에서 비밀번호를 제공하세요.
orapki wallet add -wallet "/var/opt/oracle/dbaas_acfs/grid/tcps_wallets" -trusted_cert -cert /tmp/teleport-db-client-ca.crt
TLS 인증을 위한 그리드 리스너 활성화
$ORACLE_HOME/network/admin/listener.ora에서 그리드 리스너 구성을 조정하여 TLS 인증을 활성화합니다.
SSL_CLIENT_AUTHENTICATION = TRUE
리스너 재시작
작업이 끝나면 리스너를 재시작하세요.
lsnrctl stoplsnrctl start
2단계/6. 데이터베이스 구성 데이터 수집
Oracle에서 내장된 데이터베이스 인증서를 내보냅니다. Teleport는 이 인증서를 사용하여 데이터베이스 연결을 확인합니다.
데이터베이스 인증서를 내보냅니다. "-dn" 매개변수를 실제 설정에 맞게 업데이트하세요.
orapki wallet export -wallet "/var/opt/oracle/dbaas_acfs/grid/tcps_wallets" -dn "CN=demodb-vm-scan.exadatadomain.oke.oraclevcn.com" -cert /tmp/oracle-server-certificate.crt
/tmp/oracle-server-certificate.crt 파일을 임시 위치에 저장합니다. 최종 위치는 Teleport 설치 방법에 따라 다르며, 다음 단계에서 자세히 설명합니다.
로컬 리스너의 TCPS 주소를 확인합니다. 이 주소는 Teleport가 연결에 사용할 것입니다. 아래 예에서 주소는 10.20.30.40:2484입니다.
sqlplus / as sysdba...
SQL> SHOW PARAMETER local_listener;
. NAME TYPE VALUE
. -------------- ------ ------------------------------
. local_listener string (ADDRESS=(PROTOCOL=TCP)(HOST=10.20.30.40)(PORT=1521)),
. (ADDRESS=(PROTOCOL=TCPS)(HOST=10.20.30.40)(PORT=2484))
3단계/6. 데이터베이스 서비스 구성 및 시작
Teleport 가입 토큰 생성
Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
Teleport 데이터베이스 서비스
Teleport를 설치하고 구성하여 Teleport 데이터베이스 서비스를 실행할 위치에 설치합니다:
적절한 명령어를 사용하여 환경에 맞게 패키지를 설치하세요:
텔레포트 에디션
- 엔터프라이즈
- 엔터프라이즈 클라우드
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport APT 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v16" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/nullsudo apt-get updatesudo apt-get install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo apt-get install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"sudo yum install teleport-ent팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo yum install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport Zypper 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")sudo yum install teleport-ent팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo yum install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf 구성 관리자 플러그인을 사용하여 teleport RPM repo 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"teleport 설치
sudo dnf install teleport-ent팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo dnf install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releaseTeleport Zypper 저장소 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport-zypper.repo")teleport 설치
sudo zypper install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo zypper install teleport-ent-fips
아래의 예제 명령어에서 $SYSTEM_ARCH를 적절한 값(amd64, arm64, 또는 arm)으로 업데이트하세요.
이 변수를 사용하는 모든 예제 명령어는 하나가 채워질 때 업데이트됩니다.
curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gzshasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gzcd teleport-entsudo ./install
Teleport Enterprise의 FedRAMP/FIPS 준수 설치에서는 패키지 URL이 약간 다를 것입니다:
curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gzshasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gzcd teleport-entsudo ./install
Teleport 리포지토리를 리포지토리 목록에 추가합니다:
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport APT 리포지토리 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"리포지토리 업데이트 및 Teleport 및 Teleport 업데이트 도구 설치
sudo apt-get updatesudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater
OS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 도구 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf 구성 관리자 플러그인을 사용하여 teleport RPM 리포 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 도구 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport Zypper 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM 리포 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 도구 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater
teleport 이진 파일을 v16 이외의 버전으로 설치하기 전에,
이진 파일이 텔레포트 엔터프라이즈 클라우드와 호환되는지 확인하기 위해
우리의 호환성 규칙을 읽으세요.
Teleport는 시맨틱 버전 관리를 사용합니다. 버전 번호는 주요 버전, 부 버전 및 패치 버전으로 구성되며, 점으로 구분됩니다. 클러스터 내에서 여러 teleport 바이너리를 실행할 때 다음 규칙이 적용됩니다:
- 패치 및 부 버전은 항상 호환됩니다. 예를 들어, 8.0.1 구성 요소는 8.0.3 구성 요소와 함께 작동하며, 8.1.0 구성 요소는 8.3.0 구성 요소와 함께 작동합니다.
- 서버는 하나의 주요 버전 뒤에 있는 클라이언트를 지원하지만, 최신 주요 버전의 클라이언트는 지원하지 않습니다. 예를 들어, 8.x.x 프록시 서비스 인스턴스는 7.x.x 에이전트 및 7.x.x
tsh와 호환되지만, 9.x.x 에이전트가 8.x.x 프록시 서비스 인스턴스와 작동할 것이라고 보장하지 않습니다. 이는 또한 6.x.x에서 바로 8.x.x로 업그레이드하려고 해서는 안 된다는 것을 의미합니다. 먼저 7.x.x로 업그레이드해야 합니다. - 프록시 서비스 인스턴스와 에이전트는 이전 주요 버전의 인증 서비스 인스턴스를 지원하지 않으며, 기본적으로 이전 인증 서비스 인스턴스에 연결하는 데 실패합니다. 에이전트 및 프록시 서비스 인스턴스를 시작할 때
--skip-version-check를 전달하여 버전 검사를 무시할 수 있습니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 적절한 구성으로 Teleport를 시작합니다.
단일 Teleport 프로세스는 여러 가지 다른 서비스를 실행할 수 있습니다. 예를 들어, 여러 데이터베이스 서비스 에이전트와 SSH 서비스 또는 애플리케이션 서비스를 실행할 수 있습니다. 아래 단계는 기존 구성 파일을 덮어쓰므로 여러 서비스를 실행하는 경우 --output=stdout를 추가하여 터미널에 구성을 출력하고 /etc/teleport.yaml를 수동으로 조정하세요.
Oracle 데이터베이스 인증서를 복사하고 Teleport 데이터베이스 서비스 호스트에서 /var/lib/teleport/oracle-server-certificate.crt에 저장합니다.
다음 명령을 실행하여 데이터베이스 서비스에 대한 구성 파일을 /etc/teleport.yaml에 생성합니다. example.teleport.sh를 Teleport 프록시 서비스의 호스트 및 포트로 업데이트하세요.
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name="oracle" \ --protocol=oracle \ --uri="10.20.30.40:2484" \ --ca-cert-file="/var/lib/teleport/oracle-server-certificate.crt" \ --labels=env=dev
생성된 구성 파일을 수동으로 편집하여 tls.mode: verify-ca를 포함하도록 합니다.
oracle 데이터베이스에 대한 최종 항목은 다음과 비슷할 것입니다:
db_service:
enabled: true
databases:
- name: oracle
uri: "10.20.30.40:2484"
protocol: oracle
tls:
mode: verify-ca
ca_cert_file: /var/lib/teleport/oracle-server-certificate.crt
호스트가 부팅될 때 the Teleport Database Service가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 the Teleport Database Service를 설치한 방법에 따라 다릅니다.
the Teleport Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:
sudo systemctl enable teleportsudo systemctl start teleport
the Teleport Database Service를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
the Teleport Database Service의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.
데이터베이스 CA 인증서를 포함하는 비밀을 Teleport와 동일한 네임스페이스에서 호출하여 만듭니다.
kubectl create secret generic db-ca --from-file=ca.pem=/path/to/oracle-server-certificate.crt
다음 내용을 가진 values.yaml이라는 파일을 생성합니다. example.teleport.sh를 Teleport 프록시 서비스의 호스트와 포트로 업데이트하고, JOIN_TOKEN을 이전에 생성한 가입 토큰으로 업데이트하세요.
roles: db
proxyAddr: example.teleport.sh
enterprise: true
authToken: "JOIN_TOKEN"
databases:
- name: oracle
uri: "10.20.30.40:2484"
protocol: oracle
static_labels:
env: dev
tls:
mode: verify-ca
ca_cert_file: /etc/teleport-tls-db/db-ca/ca.pem
extraVolumes:
- name: db-ca
secret:
secretName: db-ca
extraVolumeMounts:
- name: db-ca
mountPath: /etc/teleport-tls-db/db-ca
readOnly: true
Teleport는 Kubernetes 클러스터에 Teleport 데이터베이스 서비스를 설치하기 위한 Helm 차트를 제공합니다.
Teleport Helm 리포지토리를 설정하세요. Teleport Helm 리포지토리에 호스팅된 차트를 설치하도록 Helm을 허용하세요:
helm repo add teleport https://charts.releases.teleport.dev
원격 리포지토리의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리즈로 업그레이드할 수 있습니다:
helm repo update
차트를 설치합니다:
helm install teleport-kube-agent teleport/teleport-kube-agent \ --create-namespace \ --namespace teleport-agent \ --version 16.2.0 \ -f values.yaml
Teleport 에이전트 파드가 실행 중인지 확인하십시오. 하나의 teleport-kube-agent 파드와 하나의 준비된 컨테이너가 있어야 합니다.
kubectl -n teleport-agent get podsNAME READY STATUS RESTARTS AGEteleport-kube-agent-0 1/1 Running 0 32s
4단계/6. (선택 사항) Teleport가 Oracle 감사 로그를 가져오도록 구성
Teleport는 Oracle 감사 로그를 Oracle 감사 추적에서 가져올 수 있습니다. 이 기능을 활성화하기 위해서는 Oracle 감사 추적을 구성하고 Oracle 감사 추적에서 감사 이벤트를 가져오는 데 사용할 전용 Teleport 사용자 계정을 만들어야 합니다.
감사 이벤트를 가져오는 내부 Oracle teleport 사용자를 생성합니다:
CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;
Oracle 감사 추적에서 테이블을 활성화합니다:
ALTER system SET audit_trail=db,extended scope=spfile;
감사 추적 변경 사항을 전파하기 위해 Oracle 인스턴스를 재시작합니다.
alice 사용자에 대해 Oracle 감사를 활성화합니다:
AUDIT ALL STATEMENTS by alice BY access;
Oracle에 연결하는 모든 Teleport 사용자에 대해 감사를 활성화해야 합니다. 또한 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.
Oracle 감사 추적에서 감사 로그를 가져오기 위해 Teleport 데이터베이스 서비스를 구성합니다:
db_service:
enabled: "yes"
databases:
- name: oracle
protocol: "oracle"
uri: "10.20.30.40:2484"
oracle:
audit_user: "teleport"
tls:
mode: verify-ca
ca_cert_file: /var/lib/teleport/oracle-server-certificate.crt
Teleport는 Oracle 감사 추적에서 감사 추적 이벤트를 정리하지 않습니다. 디스크 공간이 부족해지지 않도록 Oracle 감사 추적 정리 정책을 구성해야 합니다.
5단계/6. Teleport 사용자 생성
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.
내장된 access 역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access 및 requester 역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
| Flag | Description |
|---|---|
--roles | 사용자에게 할당할 역할 목록입니다. 내장된 access 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다. |
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.
6단계/6. 연결
데이터베이스 서비스가 클러스터에 가입한 후, 사용 가능한 데이터베이스를 보려면 로그인합니다:
tsh login --proxy=example.teleport.sh --user=alicetsh db ls이름 설명 허용된 사용자 레이블 연결
------ -------------- ------------- ------- -------
oracle [*] env=dev
"oracle" 데이터베이스에 연결합니다. --db-name 매개변수로 올바른 서비스 이름을 전달하십시오.
Oracle Exadata VM에서 데이터베이스 구성을 검사하여 서비스 이름을 확인할 수 있습니다.
> lsnrctl services | grep paasService "spark_PDB1.paas.oracle.com" has 1 instance(s).
tsh db connect --db-user alice --db-name spark_PDB1.paas.oracle.com oracleSQLcl: Release 24.2 Production on Fri Aug 09 15:29:41 2024
Copyright (c) 1982, 2024, Oracle. All rights reserved.
연결됨:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.24.0.0.0
SQL> select user from dual;
사용자
________
ALICE
SQL>
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
특정 데이터베이스 인스턴스에 대한 자격 증명을 제거합니다.
tsh db logout oracle모든 데이터베이스 인스턴스에 대한 자격 증명을 제거합니다.
tsh db logout
다음 단계
-
특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
-
고가용성(HA) 가이드를 확인하세요.
-
YAML 구성 참조를 살펴보세요.
-
전체 CLI 참조를 확인하세요.
다음 문서에 대해 읽어보세요: