Teleport는 Teleport 데이터베이스 서비스를 통해 Oracle에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport RBAC 시스템을 통한 세밀한 접근 제어가 가능합니다.
Teleport 데이터베이스 서비스는 데이터베이스 클라이언트의 트래픽을 귀하의 인프라에 있는 자체 호스팅 데이터베이스로 프록시합니다. Teleport는 데이터베이스 클라이언트를 위한 인증 기관을 유지 관리합니다. 귀하는 데이터베이스를 구성하여 Teleport 데이터베이스 클라이언트 CA를 신뢰하도록 하고, Teleport 데이터베이스 서비스는 사용자 트래픽을 프록시할 때 이 CA에서 서명한 인증서를 제시합니다. 이 설정을 통해 자체 호스팅 데이터베이스에 대한 장기적인 자격 증명을 저장할 필요가 없습니다.
한편, Teleport 데이터베이스 서비스는 Teleport 데이터베이스 CA 또는 사용자가 선택한 사용자 정의 CA에 대해 TLS 인증서를 확인하여 자체 호스팅 데이터베이스를 검증합니다.
이 가이드에서는 다음을 수행할 것입니다:
- Teleport 액세스를 위해 Oracle 데이터베이스를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport Database Service는 상호 TLS를 사용하여 자체 호스팅된 Oracle 데이터베이스에 인증합니다. Oracle는 데이터베이스 클라이언트를 위한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport Database Service는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자의 클라이언트 트래픽을 프록시합니다.
전제 조건
-
실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하기 무료 체험판을 이용해 보세요.
-
tctl관리 도구 및tsh클라이언트 도구 버전 >= 16.2.0.tctl및tsh다운로드 방법에 대한 지침은 설치를 방문하세요.
- 셀프 호스티드 Oracle 서버 인스턴스 18c 이상.
sqlclOracle 클라이언트가 설치되고 시스템의PATH환경 변수에 추가되었거나 JDBC Oracle Thin 클라이언트를 지원하는 GUI 클라이언트.- 선택 사항: 셀프 호스티드 데이터베이스의 인증서를 발급하는 인증 기관.
단계 1/6. Teleport 토큰 및 사용자 생성
Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
기존 사용자에게 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.
내장된 access 및 requester 역할로 로컬 Teleport 사용자를 만듭니다:
tctl users add \ --roles=access,requester \ --db-users=\* \ --db-names=\* \ alice
| 플래그 | 설명 |
|---|---|
--roles | 사용자에게 할당할 역할 목록입니다. 내장된 access 역할을 사용하면 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있습니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드를 사용하면 모든 사용자가 가능합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(즉, 스키마) 목록입니다. 와일드카드를 사용하면 모든 데이터베이스가 가능합니다. |
데이터베이스 이름은 PostgreSQL 및 MongoDB 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어 및 제한 방법에 대한 더 자세한 정보는 RBAC 문서를 참조하세요.
단계 2/6. 인증서/키 쌍 및 Teleport Oracle Wallet 생성
Teleport는 자체 호스팅 데이터베이스와 상호 TLS 인증을 사용합니다. 이러한 데이터베이스는 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증 기관으로 구성되어야 합니다. 또한 Teleport가 검증할 수 있는 인증서/키 쌍이 필요합니다.
tctl을 사용하여 워크스테이션에서 인증서를 발급하려면, Teleport 사용자가 시스템 역할 Db를 가장할 수 있도록 허용되어야 합니다.
다음 allow 규칙을 Teleport 사용자 역할에 포함하세요:
allow:
impersonate:
users: ["Db"]
roles: ["Db"]
데이터베이스에 대한 TLS 자격 증명을 생성하려면 아래 지침을 따르세요.
Teleport의 인증 기관 및 생성된 인증서/키 쌍을 내보냅니다.
호스트 db.example.com에 대해 3개월 유효성이 있는 인증서/키 쌍입니다.
tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h
이 예에서 db.example.com는 Teleport 데이터베이스 서비스가 Oracle 서버에 접근할 수 있는 호스트 이름입니다.
우리는 더 짧은 TTL을 사용하는 것을 권장하지만, 연결 능력을 잃지 않기 위해 인증서가 만료되기 전에 데이터베이스 서버 인증서를 업데이트해야 한다는 점을 명심하세요. 귀하의 사용 사례에 가장 적합한 TTL 값을 선택하세요.
tctl이 로컬 환경에서 Orapki 도구를 찾으면 tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h 명령은 Oracle Wallet과 Teleport Oracle Wallet로 Oracle TCPS 리스너를 구성하는 방법에 대한 지침을 생성합니다. 그렇지 않은 경우 tctl auth sign --format=oracle 명령은 p12 인증서 및 Oracle 데이터베이스 인스턴스에서 Oracle Wallet을 생성하는 방법에 대한 지침을 생성합니다.
Oracle 데이터베이스가 기존 인증 기관에 의해 서명된 TLS 자격 증명을 제공하는 경우, 다음 단계를 따르세요:
-
Teleport CA 인증서를 내보내 Oracle이 Teleport 데이터베이스 서비스에서 트래픽을 인증하도록 합니다. example.teleport.sh:443를 클러스터의 Teleport Proxy 서비스의 호스트 및 웹 포트로 대체합니다. 다음 명령을 워크스테이션에서 실행하세요:
tctl auth export --type=db-client --auth-server=example.teleport.sh:443 > server.ca-client.crt -
server.ca-client.crt를 Oracle 서버의 Oracle Wallet을 사용할 디렉토리로 이동합니다. -
Oracle 서버에 대해 PKCS12 형식의 키와 인증서를 발행하고 결과 P12 파일을 Oracle Wallet 디렉토리의
server.p12로 이동합니다. -
Oracle 서버에서
orapki도구를 사용하여 Oracle Wallet을 설정합니다:비밀번호를 지정합니다.
PKCS12_PASS=""WALLET_DIR="/path/to/oracleWalletDir"orapki wallet create -wallet "$WALLET_DIR" -auto_login_onlyorapki wallet import_pkcs12 -wallet "$WALLET_DIR" -auto_login_only -pkcs12file server.p12 -pkcs12pwd ${PKCS12_PASS?}orapki wallet add -wallet "$WALLET_DIR" -trusted_cert -auto_login_only -cert server.ca-client.crt
이러한 파일을 Oracle 서버에 복사할 때 인증서 파일 권한이 oracle 사용자에게 읽을 수 있도록 설정되어 있는지 확인하십시오.
단계 3/6. Oracle 데이터베이스 구성
Teleport Oracle 통합을 활성화하려면 TCPS Oracle 리스너를 구성하고 이전 단계에서 생성한 Teleport Oracle Wallet을 사용해야 합니다.
listener.ora Oracle 구성 파일을 정렬하고 다음 항목을 추가합니다:
LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = 0.0.0.0)(PORT = 2484))
)
)
WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE
또한 sqlnet.ora Oracle 구성을 확장해야 합니다:
WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (TCPS)
listener.ora 구성 파일을 업데이트한 후 Oracle 리스너를 다시 로드해야합니다 lsnrctl reload.
또한 Oracle 데이터베이스 사용자 계정은 유효한 클라이언트 인증서를 요구하도록 구성해야 합니다. 새 사용자를 생성하는 경우:
CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
GRANT CREATE SESSION TO alice;
단계 4/6. 데이터베이스 서비스 구성 및 시작
Teleport 데이터베이스 서비스를 실행할 Teleport를 설치하고 구성합니다:
적절한 명령어를 사용하여 환경에 맞게 패키지를 설치하세요:
텔레포트 에디션
- 엔터프라이즈
- 엔터프라이즈 클라우드
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport APT 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v16" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/nullsudo apt-get updatesudo apt-get install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo apt-get install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"sudo yum install teleport-ent팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo yum install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport Zypper 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")sudo yum install teleport-ent팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo yum install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releasev16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf 구성 관리자 플러그인을 사용하여 teleport RPM repo 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"teleport 설치
sudo dnf install teleport-ent팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo dnf install teleport-ent-fips
OS 버전에 대한 변수 소스
source /etc/os-releaseTeleport Zypper 저장소 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport-zypper.repo")teleport 설치
sudo zypper install teleport-ent
FedRAMP/FIPS 준수 설치의 경우, 대신 teleport-ent-fips 패키지를 설치하세요:
sudo zypper install teleport-ent-fips
아래의 예제 명령어에서 $SYSTEM_ARCH를 적절한 값(amd64, arm64, 또는 arm)으로 업데이트하세요.
이 변수를 사용하는 모든 예제 명령어는 하나가 채워질 때 업데이트됩니다.
curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gzshasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gzcd teleport-entsudo ./install
Teleport Enterprise의 FedRAMP/FIPS 준수 설치에서는 패키지 URL이 약간 다를 것입니다:
curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gzshasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gzcd teleport-entsudo ./install
Teleport 리포지토리를 리포지토리 목록에 추가합니다:
Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.ascOS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport APT 리포지토리 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"리포지토리 업데이트 및 Teleport 및 Teleport 업데이트 도구 설치
sudo apt-get updatesudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater
OS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")sudo yum install -y yum-utilssudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 도구 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")dnf 구성 관리자 플러그인을 사용하여 teleport RPM 리포 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 도구 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
OS 버전에 대한 변수 소스
source /etc/os-release클라우드를 위한 Teleport Zypper 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")Zypper를 사용하여 teleport RPM 리포 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.comexport TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"Teleport 및 Teleport 업데이트 도구 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater
teleport 이진 파일을 v16 이외의 버전으로 설치하기 전에,
이진 파일이 텔레포트 엔터프라이즈 클라우드와 호환되는지 확인하기 위해
우리의 호환성 규칙을 읽으세요.
Teleport는 시맨틱 버전 관리를 사용합니다. 버전 번호는 주요 버전, 부 버전 및 패치 버전으로 구성되며, 점으로 구분됩니다. 클러스터 내에서 여러 teleport 바이너리를 실행할 때 다음 규칙이 적용됩니다:
- 패치 및 부 버전은 항상 호환됩니다. 예를 들어, 8.0.1 구성 요소는 8.0.3 구성 요소와 함께 작동하며, 8.1.0 구성 요소는 8.3.0 구성 요소와 함께 작동합니다.
- 서버는 하나의 주요 버전 뒤에 있는 클라이언트를 지원하지만, 최신 주요 버전의 클라이언트는 지원하지 않습니다. 예를 들어, 8.x.x 프록시 서비스 인스턴스는 7.x.x 에이전트 및 7.x.x
tsh와 호환되지만, 9.x.x 에이전트가 8.x.x 프록시 서비스 인스턴스와 작동할 것이라고 보장하지 않습니다. 이는 또한 6.x.x에서 바로 8.x.x로 업그레이드하려고 해서는 안 된다는 것을 의미합니다. 먼저 7.x.x로 업그레이드해야 합니다. - 프록시 서비스 인스턴스와 에이전트는 이전 주요 버전의 인증 서비스 인스턴스를 지원하지 않으며, 기본적으로 이전 인증 서비스 인스턴스에 연결하는 데 실패합니다. 에이전트 및 프록시 서비스 인스턴스를 시작할 때
--skip-version-check를 전달하여 버전 검사를 무시할 수 있습니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 적절한 구성으로 Teleport를 시작합니다.
단일 Teleport 프로세스는 여러 가지 서비스를 실행할 수 있습니다.
예를 들어, 여러 데이터베이스 서비스 에이전트, SSH 서비스 또는 애플리케이션 서비스가 가능합니다.
아래 단계는 기존 구성 파일을 덮어쓰므로, 여러 서비스를 실행 중이라면
--output=stdout을 추가하여 터미널에 구성을 출력하고
수동으로 /etc/teleport.yaml을 조정하세요.
데이터베이스 서비스에 대한 구성 파일을
/etc/teleport.yaml에 생성하려면 다음 명령을 실행합니다.
example.teleport.sh를 Teleport 프록시 서비스의 호스트 및
포트로 업데이트하세요:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh \ --name=oracle \ --protocol=oracle \ --uri=oracle.example.com:2484 \ --labels=env=dev
Teleport 데이터베이스 서비스를 사용자 정의 CA를 신뢰하도록 구성하려면:
-
사용자 정의 CA에 대한 CA 인증서를 내보내고 Teleport 데이터베이스 서비스 호스트의
/var/lib/teleport/db.ca에서 사용 가능하게 합니다. -
위 명령의 변형을 실행하여
--ca-cert-file플래그를 사용합니다. 이렇게 하면 데이터베이스에서 전송되는 트래픽을 확인하기 위해db.ca에 있는 CA 인증서를 사용하도록 Teleport 데이터베이스 서비스를 구성합니다:sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name=oracle \ --protocol=oracle \ --uri=oracle.example.com:2484 \ --ca-cert-file="/var/lib/teleport/db.ca" \ --labels=env=dev
데이터베이스 서버가 ComodoCA 또는 DigiCert와 같은 공인 CA에 의해 서명된 인증서를 사용하는 경우,
CA를 내보내지 않고 trust_system_cert_pool 옵션을 사용할 수 있습니다:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name=oracle \ --protocol=oracle \ --uri=oracle.example.com:2484 \ --trust_system_cert_pool \ --labels=env=dev
호스트가 부팅될 때 Teleport 데이터베이스 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 Teleport 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:
sudo systemctl enable teleportsudo systemctl start teleport
Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
Teleport 데이터베이스 서비스의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.
Teleport는 Kubernetes 클러스터에 Teleport 데이터베이스 서비스를 설치하기 위한 Helm 차트를 제공합니다.
Teleport Helm 리포지토리를 설정하세요. Teleport Helm 리포지토리에 호스팅된 차트를 설치하도록 Helm을 허용하세요:
helm repo add teleport https://charts.releases.teleport.dev
원격 리포지토리의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리즈로 업그레이드할 수 있습니다:
helm repo update
Kubernetes 클러스터에 Teleport 데이터베이스 서비스 구성으로 Teleport 에이전트를 설치합니다.
다음 내용을 포함하는 values.yaml이라는 파일을 생성합니다. example.teleport.sh를 Teleport Proxy 서비스의 호스트와 포트로 업데이트하고, JOIN_TOKEN을 이전에 생성한 조인 토큰으로 업데이트합니다:
roles: db
proxyAddr: example.teleport.sh
# Teleport Community Edition을 사용하는 경우 false로 설정
enterprise: true
authToken: "JOIN_TOKEN"
databases:
- name: oracle
uri: oracle.example.com:2484
protocol: oracle
static_labels:
env: dev
Teleport 데이터베이스 서비스가 사용자 지정 CA를 신뢰하도록 구성하려면:
-
사용자 지정 CA에 대한 CA 인증서를 내보내고 작업 공간의
db.ca에 사용 가능하게 만듭니다. -
다음 명령을 사용하여 Teleport와 동일한 네임스페이스에 데이터베이스 CA 인증서를 포함하는 비밀을 생성합니다:
kubectl create secret generic db-ca --from-file=ca.pem=/path/to/db.ca -
values.yaml에 다음을 추가합니다:roles: db proxyAddr: example.teleport.sh # Teleport Community Edition을 사용하는 경우 false로 설정 enterprise: true authToken: JOIN_TOKEN databases: - name: oracle uri: oracle.example.com:2484 protocol: oracle + tls: + ca_cert_file: "/etc/teleport-tls-db/db-ca/ca.pem" static_labels: env: dev + extraVolumes: + - name: db-ca + secret: + secretName: db-ca + extraVolumeMounts: + - name: db-ca + mountPath: /etc/teleport-tls-db/db-ca + readOnly: true -
차트를 설치합니다:
helm install teleport-kube-agent teleport/teleport-kube-agent \ --create-namespace \ --namespace teleport-agent \ --version 16.2.0 \ -f values.yaml -
Teleport 에이전트 파드가 실행되고 있는지 확인합니다. 하나의 준비된 컨테이너가 있는
teleport-kube-agent파드를 볼 수 있어야 합니다:kubectl -n teleport-agent get podsNAME READY STATUS RESTARTS AGEteleport-kube-agent-0 1/1 Running 0 32s
단일 Teleport 프로세스는 여러 서비스를 실행할 수 있습니다. 예를 들어, 여러 Database Service 인스턴스뿐만 아니라 SSH 서비스나 애플리케이션 서비스와 같은 다른 서비스도 실행할 수 있습니다.
단계 5/6. (선택 사항) Oracle 감사 로그를 Teleport로 가져오도록 구성
Teleport는 Oracle 감사 내역에서 감사 로그를 가져올 수 있습니다. 이 기능을 사용하려면 Oracle 감사 내역을 구성하고 Oracle 감사 내역에서 감사 이벤트를 가져오는 데 사용할 전용 Teleport 사용자를 생성해야 합니다.
Oracle 내부 teleport 사용자를 생성하여 Oracle 감사 내역에서 감사 이벤트를 가져옵니다:
CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;
Oracle 감사 내역에서 테이블을 활성화합니다:
ALTER system SET audit_trail=db,extended scope=spfile;
감사 내역 변경 사항을 전파하기 위해 Oracle 인스턴스를 다시 시작합니다.
alice 사용자에 대한 Oracle 감사를 활성화합니다:
AUDIT ALL STATEMENTS by alice BY access;
Oracle에 연결하기 위해 사용될 각 Teleport 사용자에 대해 감사를 활성화해야 합니다. 또한 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.
Oracle 감사 내역에서 감사 로그를 가져오기 위해 Teleport 데이터베이스 서비스를 구성합니다:
db_service:
enabled: "yes"
databases:
- name: "oracle"
protocol: "oracle"
uri: "oracle.example.com:2484"
oracle:
audit_user: "teleport"
kind: db
version: v3
metadata:
name: oracle
spec:
protocol: "oracle"
uri: "oracle.example.com:2484"
oracle:
audit_user: "teleport"
Teleport는 Oracle 감사 내역에서 감사 이벤트를 정리하지 않습니다. 디스크 공간 부족 방지를 위해 Oracle 감사 내역 정리 정책을 구성해야 합니다.
단계 6/6. 연결
데이터베이스 서비스가 클러스터에 조인되면 사용 가능한 데이터베이스를 보려면 로그인합니다:
tsh login --proxy=mytenant.teleport.sh --user=alicetsh db ls이름 설명 허용 사용자 라벨 연결
------ -------------- ------------- ------- -------
oracle Oracle 예제 [*] env=dev
데이터베이스에 연결:
tsh db connect --db-user=alice --db-name=XE oracleSQLcl: 2023년 3월 31일 금요일 22.4 생산 출시
저작권 (c) 1982, 2023, Oracle. 모든 권리 보유.
연결됨:
Oracle Database 21c Express Edition Release 21.0.0.0.0 - 생산
버전 21.3.0.0.0
SQL>
데이터베이스에서 로그 아웃하고 자격 증명을 제거합니다:
특정 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout oracle모든 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout
다음 단계
-
특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
-
고가용성(HA) 가이드를 확인하세요.
-
YAML 구성 참조를 살펴보세요.
-
전체 CLI 참조를 확인하세요.
- [sqlnet.ora] 및 listener.ora 파일에 대한 Oracle 문서 구성을 자세히 알아보세요.
- Oracle 감사 내역