셀프 호스팅한 CockroachDB로 데이터베이스 접근

Teleport는 Teleport 데이터베이스 서비스를 통해 CockroachDB에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport RBAC 시스템을 통한 세밀한 접근 제어가 가능합니다.

Teleport 데이터베이스 서비스는 데이터베이스 클라이언트의 트래픽을 귀하의 인프라에 있는 자체 호스팅 데이터베이스로 프록시합니다. Teleport는 데이터베이스 클라이언트를 위한 인증 기관을 유지 관리합니다. 귀하는 데이터베이스를 구성하여 Teleport 데이터베이스 클라이언트 CA를 신뢰하도록 하고, Teleport 데이터베이스 서비스는 사용자 트래픽을 프록시할 때 이 CA에서 서명한 인증서를 제시합니다. 이 설정을 통해 자체 호스팅 데이터베이스에 대한 장기적인 자격 증명을 저장할 필요가 없습니다.

한편, Teleport 데이터베이스 서비스는 Teleport 데이터베이스 CA 또는 사용자가 선택한 사용자 정의 CA에 대해 TLS 인증서를 확인하여 자체 호스팅 데이터베이스를 검증합니다.

이 가이드에서는 다음을 수행할 것입니다:

Teleport 액세스를 위해 CockroachDB 데이터베이스를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport Database Service는 상호 TLS를 사용하여 자체 호스팅된 CockroachDB 데이터베이스에 인증합니다. CockroachDB는 데이터베이스 클라이언트를 위한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport Database Service는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자의 클라이언트 트래픽을 프록시합니다.

필수 사항

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

CockroachDB 클러스터.
Teleport Database Service를 실행할 호스트, 예: Amazon EC2 인스턴스.
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오.

예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다.

자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
CockroachDB 클러스터의 노드에 대한 CockroachDB 인증서를 발급할 인증 기관.

CockroachDB와 같은 분산 데이터베이스는 노드 간 통신을 위해 mTLS를 사용합니다. Teleport는 노드 간 mTLS 통신을 위한 인증서를 발급하기 위해 나만의 CA가 필요합니다.
Teleport는 데이터베이스 액세스를 위해 분할 CA 아키텍처를 사용합니다. Teleport의 db CA는 서버 인증서를 발급하고, db_client CA는 클라이언트 인증서를 발급합니다.
데이터베이스는 클라이언트 인증을 위해 Teleport의 db_client CA를 신뢰하도록 설정되어 있지만, db CA는 신뢰하지 않습니다. 또한, Teleport는 일시적 db_client CA 인증서만 발급합니다.
어떤 CockroachDB 노드가 다른 CockroachDB 노드에 연결할 때, 클라이언트 인증을 위해 상대 노드가 신뢰하는 인증서를 제시해야 합니다. Teleport가 장기 생애의 db_client 인증서를 발급하지 않기 때문에, 해당 노드는 또 다른 CA에 의해 발급된 장기 생애의 인증서를 가지고 있어야 하며, 그 인증서는 동료 노드가 신뢰합니다.
분할된 db 및 db_client CA 아키텍처는 Teleport 버전에서 보안 수정을 위해 도입되었습니다: 13.4.17, 14.3.7, 및 15.
자세한 정보는 데이터베이스 CA 마이그레이션을 참조하세요.

1단계/4. Teleport Database Service 설정

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Teleport Database Service를 실행할 위치에 Teleport를 설치하고 구성합니다:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

호스트에서 Teleport 데이터베이스 서비스를 실행하려면 적절한 구성으로 Teleport를 시작하세요.

단일 Teleport 프로세스는 여러 다른 서비스를 실행할 수 있습니다. 예를 들어, 여러 데이터베이스 서비스 에이전트뿐만 아니라 SSH 서비스나 애플리케이션 서비스도 실행할 수 있습니다. 아래 단계는 기존 구성 파일을 덮어쓰므로 여러 서비스를 실행 중인 경우 --output=stdout을 추가하여 터미널에 구성을 출력하고 /etc/teleport.yaml을 수동으로 조정하세요.

데이터베이스 서비스를 위한 구성 파일을 /etc/teleport.yaml에 생성하세요.

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=teleport.example.com:443 \   --name=roach \   --protocol=cockroachdb \   --uri=roach.example.com:26257 \   --labels=env=dev

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=mytenant.teleport.sh:443 \   --name=roach \   --protocol=cockroachdb \   --uri=roach.example.com:26257 \   --labels=env=dev

호스트가 부팅될 때 텔레포트 데이터베이스 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 텔레포트 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.

텔레포트 데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

텔레포트 데이터베이스 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

텔레포트 데이터베이스 서비스의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

Teleport는 Kubernetes 클러스터에 Teleport Database Service를 설치하기 위한 Helm 차트를 제공합니다.

Teleport Helm 리포지토리를 설정하세요. Teleport Helm 리포지토리에 호스팅된 차트를 설치하도록 Helm을 허용하세요:

helm repo add teleport https://charts.releases.teleport.dev

원격 리포지토리의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리즈로 업그레이드할 수 있습니다:

helm repo update

텔레포트 데이터베이스 서비스 구성으로 Kubernetes 클러스터에 텔레포트 큐브 에이전트를 설치합니다.

JOIN_TOKEN=$(cat /tmp/token)
helm install teleport-kube-agent teleport/teleport-kube-agent \  --create-namespace \  --namespace teleport-agent \  --set roles=db \  --set proxyAddr=teleport.example.com:443 \  --set authToken=${JOIN_TOKEN?} \  --set "databases[0].name=roach" \  --set "databases[0].uri=roach.example.com:26257" \  --set "databases[0].protocol=cockroachdb" \  --set "databases[0].static_labels.env=dev" \  --version 16.2.0

텔레포트 데이터베이스 서비스 구성을 사용하여 Kube Agent for KoNetworks 클러스터를 설치합니다.

JOIN_TOKEN=$(cat /tmp/token)
helm install teleport-kube-agent teleport/teleport-kube-agent \  --create-namespace \  --namespace teleport-agent \  --set roles=db \  --set proxyAddr=mytenant.teleport.sh:443 \  --set authToken=${JOIN_TOKEN?} \  --set "databases[0].name=roach" \  --set "databases[0].uri=roach.example.com:26257" \  --set "databases[0].protocol=cockroachdb" \  --set "databases[0].static_labels.env=dev" \  --version 16.1.7

Teleport 에이전트 포드가 실행 중인지 확인하세요. 하나의 준비된 컨테이너가 있는 teleport-kube-agent 포드가 보여야 합니다:

kubectl -n teleport-agent get pods
NAME                    READY   STATUS    RESTARTS   AGEteleport-kube-agent-0   1/1     Running   0          32s

Tip

단일 Teleport 프로세스는 여러 서비스를 실행할 수 있습니다. 예를 들어, 여러 Database Service 인스턴스뿐만 아니라 SSH 서비스나 애플리케이션 서비스와 같은 다른 서비스도 실행할 수 있습니다.

2단계/4. Teleport 사용자 생성

Tip

기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.

내장된 access 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

내장된 access 및 requester 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

Flag	Description
`--roles`	사용자에게 할당할 역할 목록입니다. 내장된 `access` 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다.
`--db-users`	사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다.
`--db-names`	사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다.

Warning

데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.

데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.

3단계/4. CockroachDB 구성

CockroachDB 사용자 생성

Teleport는 CockroachDB와의 상호 TLS 인증을 사용합니다. 클라이언트 인증서 인증은 모든 CockroachDB 사용자에게 제공됩니다. 없는 경우, Cockroach 클러스터에 연결하여 생성하십시오:

CREATE USER alice WITH PASSWORD NULL;

WITH PASSWORD NULL 절은 사용자가 비밀번호 인증을 사용할 수 없도록 하고 클라이언트 인증서 인증을 의무화합니다.

사용자에게 데이터베이스 클러스터 내에서 적절한 권한을 부여해야 합니다. 추가 정보를 원하시면 CockroachDB 문서에서 사용자 생성을 참조하세요.

상호 TLS 설정

상호 TLS 인증을 설정하려면 다음을 확인해야 합니다:

Teleport는 CockroachDB 노드에서 제공하는 인증서를 신뢰합니다.
CockroachDB 노드는 CockroachDB CA와 Teleport 클러스터의 db_client CA에 의해 서명된 클라이언트 인증서를 신뢰합니다.

CockroachDB 노드는 Teleport 사용자가 클라이언트로서 CockroachDB 클러스터에 인증할 수 있도록 Teleport db_client CA를 신뢰해야 합니다.

CockroachDB CA는 각 CockroachDB 노드가 CockroachDB 클러스터의 다른 노드에 클라이언트로서 인증할 수 있도록 각 CockroachDB 노드에서 신뢰해야 합니다. 이는 CockroachDB가 노드 간 통신을 위해 mTLS를 사용하기 때문입니다.

이 구성에서는 CockroachDB CA가 각 CockroachDB 노드를 위한 서버 인증서 node.crt를 발급하는 데 사용됩니다.

이 구성은 설정하기가 더 간단합니다. 왜냐하면 기존 CockroachDB 클러스터에는 이미 각 노드에 대해 발급된 node.crt가 있고, CockroachDB 노드가 Teleport db_client CA를 신뢰하도록 구성하기만 하면 되기 때문입니다. 또한, CockroachDB 노드에서는 Teleport의 db CA가 서명한 새 인증서가 아닌 동일한 CockroachDB CA 발급 인증서를 계속 제공하므로 다른 클라이언트를 새 CA를 신뢰하도록 구성할 필요가 없습니다.

각 CockroachDB 노드의 인증서 디렉토리에 ca-client.crt로 CockroachDB CA 인증서를 복사합니다:

CERTS_DIR=/path/to/cockroachdb/certs/dir
cp "${CERTS_DIR}/ca.crt" "${CERTS_DIR}/ca-client.crt"

다음으로 각 CockroachDB 노드에 대해 Teleport의 db_client CA를 tctl을 사용하여 내보내고(tctl을 한 번 내보낸 후 각 노드로 복사할 수 있음) 인증서를 ca-client.crt에 추가합니다:

tctl auth export --type=db-client >> /path/to/cockroachdb/certs/dir/ca-client.crt

Teleport 데이터베이스 서비스를 수정하여 CockroachDB CA를 신뢰하도록 설정하세요:

databases:
- name: "example-cockroachdb"
  protocol: "cockroachdb"
  uri: "{{ scheme }}cockroachdb.example.com:26257{{ query }}"
  static_labels:
    "env": "example"
  tls:
    ca_cert_file: "/path/to/your/ca.crt"

이제 Teleport 데이터베이스 서비스는 CockroachDB가 제시한 인증서를 신뢰하게 됩니다.

이 구성에서는 Teleport의 CA가 서버 인증서 node.crt를 발급하는 데 사용되며, 사용자가 지정한 사용자 정의 CA가 각 CockroachDB 노드의 클라이언트 인증서 client.node.crt를 발급하는 데 사용됩니다.

Teleport는 자체 호스팅 데이터베이스와 상호 TLS 인증을 사용합니다. 이러한 데이터베이스는 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증 기관으로 구성되어야 합니다. 또한 Teleport가 검증할 수 있는 인증서/키 쌍이 필요합니다.

tctl을 사용하여 워크스테이션에서 인증서를 발급하려면, Teleport 사용자가 시스템 역할 Db를 가장할 수 있도록 허용되어야 합니다.

다음 allow 규칙을 Teleport 사용자 역할에 포함하세요:

allow:
  impersonate:
    users: ["Db"]
    roles: ["Db"]

CockroachDB 노드에 대한 비밀을 생성하기 위해 tctl을 사용합니다:

tctl auth sign \    --format=cockroachdb \    --host=roach.example.com \    --out=/path/to/cockroachdb/certs/dir \    --ttl=2190h

TTL

우리는 더 짧은 TTL을 사용하는 것을 권장하지만, 연결 능력을 잃지 않기 위해 인증서가 만료되기 전에 데이터베이스 서버 인증서를 업데이트해야 한다는 점을 명심하세요. 귀하의 사용 사례에 가장 적합한 TTL 값을 선택하세요.

이 명령은 4개의 파일을 생성합니다:

ca.crt: Teleport의 db 인증 기관
ca-client.crt: Teleport의 db_client 인증 기관
node.crt / node.key: 노드의 인증서와 키.

Note

여러 개의 쉼표로 구분된 주소를 지정할 수 있습니다(예: --host=roach,node-1,192.168.1.1). 그러나 Teleport가 데이터베이스에 연결하는 데 사용할 호스트 이름을 반드시 포함해야 합니다.

이 파일의 이름을 바꾸지 마십시오. 이는 CockroachDB가 이 파일의 이름으로 인식하기 때문입니다. 노드 키 및 인증서에서 자세한 내용을 확인하세요.

CockroachDB CA 인증서를 ca-client.crt 앞에 추가합니다. 다음으로 CockroachDB CA를 사용하여 노드에 대한 클라이언트 인증서를 발급하십시오:

cockroach cert create-client node \  --certs-dir=/path/to/cockroachdb/certs/dir \  --ca-key=ca-secrets/ca-client.key

tls: private key does not match public key와 같은 오류 메시지가 표시되면, 이전 단계에서 ca-client.crt에 CockroachDB CA 인증서를 앞에 추가하지 않았을 가능성이 높습니다.

cockroach cert create-client은 --certs-dir에 지정된 ca-client.crt에서 첫 번째 인증서가 --ca-key로 서명된 인증서여야 할 것으로 예상합니다. 따라서 ca-client.crt의 첫 번째 인증서가 CockroachDB CA 인증서인지 확인하십시오.

이제 /path/to/cockroachdb/certs/dir를 CockroachDB 노드에 복사하고, 나머지 다른 CockroachDB 노드에 대해서도 이 단계를 반복합니다.

CockroachDB 노드를 재시작하면서 생성된 비밀들이 있는 디렉토리를 --certs-dir 플래그를 통해 전달합니다:

cockroach start \    --certs-dir=/path/to/cockroachdb/certs/dir \    # 기타 플래그...

또는, 노드가 이미 --certs-dir=/path/to/cockroachdb/certs/dir로 시작되었다면, 노드를 재시작하지 않고 SIGHUP 신호를 cockroach 프로세스에 보내 인증서를 다시 로드할 수 있습니다. cockroach 프로세스를 시작한 동일한 사용자로 SIGHUP을 보내야 합니다:

pkill -SIGHUP -x cockroach

4단계/4. 연결

Teleport 클러스터에 로그인하십시오. 귀하의 CockroachDB 클러스터가 사용 가능한 데이터베이스 목록에 나타날 것입니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
이름  설명                레이블
---- ------------------- -------
roach 예제 CockroachDB env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름  설명                레이블
---- ------------------- -------
roach 예제 CockroachDB env=dev

데이터베이스에 대한 자격 증명을 가져오고 연결하려면:

tsh db connect roach

데이터베이스 서버에 연결할 때 기본적으로 사용할 데이터베이스 이름과 사용자도 선택적으로 지정할 수 있습니다:

tsh db connect --db-user=alice roach

Note

cockroach 또는 psql 명령줄 클라이언트가 PATH에 있어야 연결할 수 있습니다.

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

tsh db logout roach

문제 해결

구현되지 않은 클라이언트 인코딩 오류

psql이 SQL_ASCII 인코딩을 사용하는 경우 unimplemented client encoding: "sqlascii" 오류가 발생할 수 있습니다.

CockroachDB는 UTF8 클라이언트 인코딩만 지원합니다. 인코딩을 강제하려면 tsh db connect를 실행하는 셸에서 다음 환경 변수를 설정하십시오:

export PGCLIENTENCODING='utf-8'

Teleport Connect를 통해 CockroachDB 데이터베이스에 연결하는 경우, 셸 시작 스크립트에 환경 변수를 추가하고 Teleport Connect 앱을 재시작하십시오.

쿼리를 취소할 수 없습니다

psql과 같은 PostgreSQL CLI 클라이언트를 사용하고 ctrl+c로 쿼리를 취소하려고 시도했지만 쿼리가 취소되지 않는 경우, 대신 tsh 로컬 프록시를 사용하여 연결해야 합니다. psql이 쿼리를 취소할 때 TLS 인증서 없이 새 연결을 설정하지만, Teleport는 인증을 위해뿐만 아니라 데이터베이스 연결을 라우팅하기 위해서도 TLS 인증서를 필요로 합니다.

만약 당신이 Teleport에서 TLS 라우팅을 활성화하면 tsh db connect는 모든 연결에 대해 자동으로 로컬 프록시를 시작합니다. 대안으로, 로컬 프록시를 사용하는 Teleport Connect를 통해 연결할 수 있습니다. 그렇지 않으면 tsh proxy db를 사용하여 수동으로 tsh 로컬 프록시를 시작하고 로컬 프록시를 통해 연결해야 합니다.

psql 세션에서 ctrl+c로 취소할 수 없는 장기 실행 쿼리를 이미 시작한 경우, 해당 쿼리를 수동으로 취소하기 위해 새 클라이언트 세션을 시작할 수 있습니다:

먼저, 쿼리의 프로세스 식별자(PID)를 찾습니다:

{{ PIDQuery }}

다음으로, PID를 사용하여 쿼리를 정상적으로 취소합니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGINT 신호를 보냅니다:

SELECT pg_cancel_backend(<PID>);

항상 먼저 쿼리를 정상 종료하려고 시도해야 하지만, 정상 취소가 너무 오래 걸리는 경우, 대신 쿼리를 강제로 종료할 수 있습니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGTERM 신호를 보냅니다:

SELECT pg_terminate_backend(<PID>);

pg_cancel_backend 및 pg_terminate_backend 함수에 대한 더 많은 정보는 PostgreSQL 문서의 관리자 함수를 참조하십시오.

다음 단계

특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
고가용성(HA) 가이드를 확인하세요.
YAML 구성 참조를 살펴보세요.
전체 CLI 참조를 확인하세요.

Teleport 원문 보기