Teleport는 Teleport 데이터베이스 서비스를 통해 PostgreSQL에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport RBAC 시스템을 통한 세밀한 접근 제어가 가능합니다.
Teleport 데이터베이스 서비스는 데이터베이스 클라이언트의 트래픽을 귀하의 인프라에 있는 자체 호스팅 데이터베이스로 프록시합니다. Teleport는 데이터베이스 클라이언트를 위한 인증 기관을 유지 관리합니다. 귀하는 데이터베이스를 구성하여 Teleport 데이터베이스 클라이언트 CA를 신뢰하도록 하고, Teleport 데이터베이스 서비스는 사용자 트래픽을 프록시할 때 이 CA에서 서명한 인증서를 제시합니다. 이 설정을 통해 자체 호스팅 데이터베이스에 대한 장기적인 자격 증명을 저장할 필요가 없습니다.
한편, Teleport 데이터베이스 서비스는 Teleport 데이터베이스 CA 또는 사용자가 선택한 사용자 정의 CA에 대해 TLS 인증서를 확인하여 자체 호스팅 데이터베이스를 검증합니다.
이 가이드에서는 다음을 수행할 것입니다:
- Teleport 액세스를 위해 PostgreSQL 데이터베이스를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport Database Service는 상호 TLS를 사용하여 자체 호스팅된 PostgreSQL 데이터베이스에 인증합니다. PostgreSQL는 데이터베이스 클라이언트를 위한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport Database Service는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자의 클라이언트 트래픽을 프록시합니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
- 자체 호스팅 PostgreSQL 인스턴스.
- 커맨드라인 클라이언트
psql
이 설치되어 시스템PATH
환경 변수에 추가되어 있어야 합니다. - Teleport 데이터베이스 서비스를 실행할 호스트, 예를 들어 Amazon EC2 인스턴스.
- 선택 사항: 자체 호스팅 데이터베이스를 위해 인증서를 발급하는 인증 기관.
- 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login
으로 로그인한 다음 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결하고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl
명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다.
1단계/5. Teleport 토큰 및 사용자 생성
Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl
명령을 실행하고 토큰 출력을 /tmp/token
에 저장하세요.
Database 서비스가 실행될 서버에서:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
Teleport 사용자 생성
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.
내장된 access
역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access
및 requester
역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
Flag | Description |
---|---|
--roles | 사용자에게 할당할 역할 목록입니다. 내장된 access 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다. |
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.
2단계/5. 인증서/키 쌍 생성
Teleport는 자체 호스팅 데이터베이스와의 상호 TLS 인증을 사용합니다. 이러한 데이터베이스는 Teleport Database Service에서 제공하는 인증서를 검증할 수 있어야 합니다. 자체 호스팅 데이터베이스도 Teleport가 검증할 수 있는 인증서/키 쌍이 필요합니다.
기본적으로 Teleport Database Service는 Teleport Auth Service가 관리하는 인증 기관(CA)이 발급한 인증서를 신뢰합니다. 다음 중 하나를 수행할 수 있습니다:
- 자체 호스팅 데이터베이스가 이 CA를 신뢰하도록 구성하고, Teleport가 데이터베이스에 대해 Teleport Database Service에 제시할 인증서를 발급하도록 지시합니다.
- Database Service가 사용자 정의 CA를 신뢰하도록 구성합니다.
데이터베이스가 Teleport CA를 신뢰하도록 구성하고 데이터베이스에 대한 인증서를 발급하려면, 워크스테이션에서 다음 지침을 따르세요:
-
워크스테이션에서
tctl
을 사용하려면, Teleport 사용자가 시스템 역할Db
를 가장할 수 있도록 허용되어야 하며, 이를 통해 데이터베이스 인증서를 생성할 수 있습니다. Teleport 사용자 역할에 다음allow
규칙을 포함하세요:allow: impersonate: users: ["Db"] roles: ["Db"]
-
Teleport의 인증 기관을 내보내고 인증서/키 쌍을 생성합니다. 이 예제는 1년 유효 기간의 인증서를 생성합니다.
db.example.com
은 PostgreSQL 서버에 접근할 수 있는 Teleport Database Service의 호스트 이름입니다.tctl auth sign --format={{ format }} --host=db.example.com --out=server --ttl=2190h명령어는
server.cas
,server.crt
,server.key
라는 3개의 파일을 생성합니다.
PostgreSQL 데이터베이스가 이미 인증서 서명에 사용하는 CA가 있는 경우, Teleport Database Service로부터의 트래픽을 인증하기 위해 Teleport CA 인증서만 내보내면 됩니다. Db
가장 권한을 활성화할 필요는 없습니다.
-
example.teleport.sh:443를 클러스터 내 Teleport Proxy Service의 호스트 및 웹 포트로 바꾸세요. 워크스테이션에서 다음 명령어를 실행하세요:
tctl auth export --type=db-client --auth-server=example.teleport.sh:443 > db-client.cas명령어는
db-client.cas
라는 1개의 파일을 생성합니다. -
db-client.cas
의 내용을 기존 데이터베이스의 CA 인증서 파일(이 가이드에서는server.cas
라고 가정)에 추가하세요. -
기존 데이터베이스 CA에서 TLS 인증서와 개인 키를 가져와 데이터베이스 서버에 서명된
server.crt
와server.key
를 생성하세요. 이 파일들은 가이드의 후반부에서 사용됩니다.
3단계/5. PostgreSQL 서버 구성
PostgreSQL 서버가 TLS 연결을 수락하도록 구성하려면, 다음을 PostgreSQL 구성 파일 postgresql.conf
에 추가합니다. 앞서 생성한 server.crt
, server.key
, 및 server.cas
파일의 경로를 사용합니다:
ssl = on
ssl_cert_file = '/path/to/server.crt'
ssl_key_file = '/path/to/server.key'
ssl_ca_file = '/path/to/server.cas'
이 구성을 활성화하려면 PostgreSQL 인스턴스를 재시작합니다.
자세한 내용은 PostgreSQL 문서의 SSL을 통한 보안 TCP/IP 연결을 참조하세요.
TLS를 통해 연결하는 클라이언트에 대해 클라이언트 인증서를 요구하도록 PostgreSQL을 구성합니다. 이는 PostgreSQL의 호스트 기반 인증 파일 pg_hba.conf
에 다음 항목을 추가하여 수행할 수 있습니다:
hostssl all all ::/0 cert
hostssl all all 0.0.0.0/0 cert
더 높은 우선 순위의 인증 규칙이 매칭되지 않도록 하여야 하며, 그렇지 않으면 PostgreSQL이 먼저 해당 규칙을 제공하고, 인증서 기반 Teleport 로그인이 실패할 수 있습니다.
자세한 내용은 PostgreSQL 문서의 pg_hba.conf 파일을 참조하세요.
4단계/5. 데이터베이스 서비스 구성 및 시작
Teleport 데이터베이스 서비스가 실행될 곳에 Teleport를 설치하고 구성합니다:
Linux 서버에 Teleport 설치하기:
-
Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:
에디션 값 Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss
-
설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')" -
Linux 서버에 Teleport를 설치합니다:
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.
Teleport 데이터베이스 서비스를 실행할 호스트에서 적절한 구성으로 Teleport를 시작합니다.
단일 Teleport 프로세스는 여러 가지 서비스를 실행할 수 있습니다.
예를 들어, 여러 데이터베이스 서비스 에이전트, SSH 서비스 또는 애플리케이션 서비스가 가능합니다.
아래 단계는 기존 구성 파일을 덮어쓰므로, 여러 서비스를 실행 중이라면
--output=stdout
을 추가하여 터미널에 구성을 출력하고
수동으로 /etc/teleport.yaml
을 조정하세요.
데이터베이스 서비스에 대한 구성 파일을
/etc/teleport.yaml
에 생성하려면 다음 명령을 실행합니다.
example.teleport.sh를 Teleport 프록시 서비스의 호스트 및
포트로 업데이트하세요:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh \ --name=example-postgres \ --protocol=postgres \ --uri=postgres.example.com:5432 \ --labels=env=dev
Teleport 데이터베이스 서비스를 사용자 정의 CA를 신뢰하도록 구성하려면:
-
사용자 정의 CA에 대한 CA 인증서를 내보내고 Teleport 데이터베이스 서비스 호스트의
/var/lib/teleport/db.ca
에서 사용 가능하게 합니다. -
위 명령의 변형을 실행하여
--ca-cert-file
플래그를 사용합니다. 이렇게 하면 데이터베이스에서 전송되는 트래픽을 확인하기 위해db.ca
에 있는 CA 인증서를 사용하도록 Teleport 데이터베이스 서비스를 구성합니다:sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name=example-postgres \ --protocol=postgres \ --uri=postgres.example.com:5432 \ --ca-cert-file="/var/lib/teleport/db.ca" \ --labels=env=dev
데이터베이스 서버가 ComodoCA 또는 DigiCert와 같은 공인 CA에 의해 서명된 인증서를 사용하는 경우,
CA를 내보내지 않고 trust_system_cert_pool
옵션을 사용할 수 있습니다:
sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=example.teleport.sh:443 \ --name=example-postgres \ --protocol=postgres \ --uri=postgres.example.com:5432 \ --trust_system_cert_pool \ --labels=env=dev
호스트가 부팅될 때 Teleport 데이터베이스 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 Teleport 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.
Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:
sudo systemctl enable teleportsudo systemctl start teleport
Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
Teleport 데이터베이스 서비스의 상태는 systemctl status teleport
로 확인할 수 있으며, 로그는 journalctl -fu teleport
로 볼 수 있습니다.
Teleport는 Kubernetes 클러스터에 Teleport 데이터베이스 서비스를 설치하기 위한 Helm 차트를 제공합니다.
Teleport Helm 리포지토리를 설정하세요. Teleport Helm 리포지토리에 호스팅된 차트를 설치하도록 Helm을 허용하세요:
helm repo add teleport https://charts.releases.teleport.dev
원격 리포지토리의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리즈로 업그레이드할 수 있습니다:
helm repo update
Kubernetes 클러스터에 Teleport 데이터베이스 서비스 구성으로 Teleport 에이전트를 설치합니다.
다음 내용을 포함하는 values.yaml
이라는 파일을 생성합니다. example.teleport.sh를 Teleport Proxy 서비스의 호스트와 포트로 업데이트하고, JOIN_TOKEN을 이전에 생성한 조인 토큰으로 업데이트합니다:
roles: db
proxyAddr: example.teleport.sh
# Teleport Community Edition을 사용하는 경우 false로 설정
enterprise: true
authToken: "JOIN_TOKEN"
databases:
- name: example-postgres
uri: postgres.example.com:5432
protocol: postgres
static_labels:
env: dev
Teleport 데이터베이스 서비스가 사용자 지정 CA를 신뢰하도록 구성하려면:
-
사용자 지정 CA에 대한 CA 인증서를 내보내고 작업 공간의
db.ca
에 사용 가능하게 만듭니다. -
다음 명령을 사용하여 Teleport와 동일한 네임스페이스에 데이터베이스 CA 인증서를 포함하는 비밀을 생성합니다:
kubectl create secret generic db-ca --from-file=ca.pem=/path/to/db.ca -
values.yaml
에 다음을 추가합니다:roles: db proxyAddr: example.teleport.sh # Teleport Community Edition을 사용하는 경우 false로 설정 enterprise: true authToken: JOIN_TOKEN databases: - name: example-postgres uri: postgres.example.com:5432 protocol: postgres + tls: + ca_cert_file: "/etc/teleport-tls-db/db-ca/ca.pem" static_labels: env: dev + extraVolumes: + - name: db-ca + secret: + secretName: db-ca + extraVolumeMounts: + - name: db-ca + mountPath: /etc/teleport-tls-db/db-ca + readOnly: true
-
차트를 설치합니다:
helm install teleport-kube-agent teleport/teleport-kube-agent \ --create-namespace \ --namespace teleport-agent \ --version 16.2.0 \ -f values.yaml -
Teleport 에이전트 파드가 실행되고 있는지 확인합니다. 하나의 준비된 컨테이너가 있는
teleport-kube-agent
파드를 볼 수 있어야 합니다:kubectl -n teleport-agent get podsNAME READY STATUS RESTARTS AGEteleport-kube-agent-0 1/1 Running 0 32s
단일 Teleport 프로세스는 여러 서비스를 실행할 수 있습니다. 예를 들어, 여러 Database Service 인스턴스뿐만 아니라 SSH 서비스나 애플리케이션 서비스와 같은 다른 서비스도 실행할 수 있습니다.
5단계/5. 연결
데이터베이스 서비스가 클러스터에 조인한 후 사용 가능한 데이터베이스를 보려면 로그인합니다:
tsh login --proxy=teleport.example.com --user=alicetsh db ls이름 설명 레이블
-------------------- ------------------ --------
example-postgres 예제 PostgreSQL env=dev
tsh login --proxy=mytenant.teleport.sh --user=alicetsh db ls이름 설명 레이블
-------------------- ------------------ --------
example-postgres 예제 PostgreSQL env=dev
본인의 역할에 따라 접근할 수 있는 데이터베이스만 볼 수 있습니다. 자세한 내용은 RBAC 섹션을 참조하세요.
데이터베이스에 대한 자격 증명을 검색하고 연결하려면:
tsh db connect --db-user=postgres --db-name=postgres example-postgres
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
특정 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout example-postgres모든 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout
문제 해결
쿼리를 취소할 수 없습니다
psql
과 같은 PostgreSQL CLI 클라이언트를 사용하고 ctrl+c
로 쿼리를 취소하려고 시도했지만 쿼리가 취소되지 않는 경우, 대신 tsh
로컬 프록시를 사용하여 연결해야 합니다.
psql
이 쿼리를 취소할 때 TLS 인증서 없이 새 연결을 설정하지만, Teleport는 인증을 위해뿐만 아니라 데이터베이스 연결을 라우팅하기 위해서도 TLS 인증서를 필요로 합니다.
만약 당신이
Teleport에서 TLS 라우팅을 활성화하면 tsh db connect
는 모든 연결에 대해 자동으로 로컬 프록시를 시작합니다.
대안으로, 로컬 프록시를 사용하는
Teleport Connect를 통해 연결할 수 있습니다.
그렇지 않으면 tsh proxy db
를 사용하여 수동으로 tsh
로컬 프록시를 시작하고 로컬 프록시를 통해 연결해야 합니다.
psql
세션에서 ctrl+c
로 취소할 수 없는 장기 실행 쿼리를 이미 시작한 경우, 해당 쿼리를 수동으로 취소하기 위해 새 클라이언트 세션을 시작할 수 있습니다:
먼저, 쿼리의 프로세스 식별자(PID)를 찾습니다:
{{ PIDQuery }}
다음으로, PID를 사용하여 쿼리를 정상적으로 취소합니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGINT 신호를 보냅니다:
SELECT pg_cancel_backend(<PID>);
항상 먼저 쿼리를 정상 종료하려고 시도해야 하지만, 정상 취소가 너무 오래 걸리는 경우, 대신 쿼리를 강제로 종료할 수 있습니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGTERM 신호를 보냅니다:
SELECT pg_terminate_backend(<PID>);
pg_cancel_backend
및 pg_terminate_backend
함수에 대한 더 많은 정보는
PostgreSQL 문서의 관리자 함수를 참조하십시오.
SSL SYSCALL error
다음은 로컬 psql
이 최신 버전의 OpenSSL과 호환되지 않을 때 발생할 수 있는 오류 메시지입니다:
$ tsh db connect --db-user postgres --db-name postgres postgres
psql: error: connection to server at "localhost" (::1), port 12345 failed: Connection refused
Is the server running on that host and accepting TCP/IP connections?
connection to server at "localhost" (127.0.0.1), port 12345 failed: SSL SYSCALL error: Undefined error: 0
이 문제를 해결하려면 로컬 psql
을 최신 버전으로 업그레이드하세요.
다음 단계
- 자동 데이터베이스 사용자 프로비저닝 설정하기.
-
특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
-
고가용성(HA) 가이드를 확인하세요.
-
YAML 구성 참조를 살펴보세요.
-
전체 CLI 참조를 확인하세요.