Teleport can provide secure access to Azure SQL Server via the Teleport Database Service. This allows for fine-grained access control through Teleport's RBAC.

In this guide, you will:

1. Configure your Azure SQL Server database with Microsoft Entra ID-based authentication.
2. Add the database to your Teleport cluster.
3. Connect to the database via Teleport.

작동 방식#

Teleport Database Service는 Microsoft Entra ID에서 인증 토큰을 검색할 수 있는 권한을 가진 Azure ID가 연결된 Azure 가상 머신에서 실행됩니다. 사용자가 Teleport로 SQL Server에 연결하면 Teleport Database Service가 Microsoft Entra ID에 인증한 후 인증 토큰을 사용하여 SQL Server에 연결합니다. 그런 다음 Database Service가 사용자 트래픽을 데이터베이스로 전달합니다.

사전 요구 사항#

• A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

• The tctl and tsh clients.

  Installing `tctl` and `tsh` clients

  1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

     $ TELEPORT_DOMAIN=
     $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
     

  2. Follow the instructions for your platform to install tctl and tsh clients:

• Azure에서 실행 중인 SQL Server.
• Azure 가상 인스턴스에서 실행 중인 Teleport Database Service.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

1/8단계. Teleport 토큰 및 사용자 생성#

The Database Service requires a valid join token to join your Teleport cluster. Run the following tctl command and save the token output in /tmp/token on the server that will run the Database Service:

$ tctl tokens add --type=db --format=text
(=presets.tokens.first=)

For more detailed information about database access controls and how to restrict access see RBAC documentation.

2/8단계. Microsoft Entra 인증 활성화#

이미 활성화되어 있다면 다음 단계로 진행할 수 있습니다.

Azure Portal로 이동하여 데이터베이스 서버를 선택하고 Microsoft Entra 인증을 활성화하려는 데이터베이스를 선택합니다.

왼쪽 열의 "설정"에서 Microsoft Entra ID를 선택합니다.

관리자 설정을 선택하고 SQL Server에 관리자 로그인으로 추가될 계정을 선택합니다.

3/8단계. Teleport를 위한 IAM 권한 구성#

Teleport Database Service에는 다음을 위한 Azure IAM 권한이 필요합니다:

• SQL Server 인스턴스 검색 및 등록.
• 로그인에 사용되는 가상 머신 관리형 ID 가져오기.

Azure 서비스 주체 구성#

Teleport에는 다음 권한이 필요합니다:

• 검색을 위한 <resource-type>/read 권한(보유한 리소스 유형에만 해당). 예: Microsoft.Sql/managedInstances/read.
• Microsoft.Compute/virtualMachines/read.

다음은 Teleport가 Azure SQL Server 및 Azure SQL 관리형 인스턴스를 읽을 수 있도록 하는 샘플 역할 정의입니다:

{
    "properties": {
        "roleName": "SQLServerAutoDiscovery",
        "description": "Allows Teleport to discover SQL Servers and SQL Managed Instances.",
        "assignableScopes": [
            "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Sql/managedInstances/read",
                    "Microsoft.Sql/servers/read",
                    "Microsoft.Compute/virtualMachines/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

위의 assignableScopes 필드에는 구독(/subscriptions/<subscription>)이 포함되어 있어 해당 구독 내의 모든 리소스 범위 또는 구독 범위 자체에서 역할을 할당할 수 있습니다. assignableScopes를 더 제한하려면 리소스 그룹(/subscriptions/<subscription>/resourceGroups/<group>) 또는 관리 그룹(/providers/Microsoft.Management/managementGroups/<group>)을 사용할 수 있습니다.

구독 페이지로 이동하여 구독을 선택합니다.

구독에서 **액세스 제어(IAM)**를 클릭하고 추가 > 사용자 지정 역할 추가를 선택합니다:

사용자 지정 역할 생성 페이지에서 JSON 탭을 클릭하고 편집을 클릭한 다음 JSON 예시를 붙여넣고 assignableScopes의 구독을 본인의 구독 ID로 교체합니다:

4/8단계. 가상 머신 ID 구성#

Teleport Database Service 가상 머신의 ID 섹션에서 시스템 할당 ID를 활성화합니다. 이는 Teleport가 Azure API에 액세스하는 데 사용됩니다.

Teleport에 권한을 부여하려면 생성한 사용자 지정 역할을 가상 머신 시스템 할당 ID에 할당해야 합니다. 같은 페이지에서 Azure 역할 할당을 클릭한 다음 역할 할당 추가를 클릭합니다. 사용자 지정 역할을 선택하고 저장합니다.

로그인 ID#

Teleport Database Service는 SQL Server 데이터베이스에 인증하기 위해 Microsoft Entra ID의 액세스 토큰이 필요합니다.

가상 머신에 연결된 관리형 ID를 사용하여 인증 토큰을 가져옵니다.

새 사용자 할당 관리형 ID를 생성하려면 Azure Portal의 관리형 ID 페이지로 이동하여 만들기를 클릭합니다. 이름과 리소스 그룹을 선택하고 생성합니다:

다음으로 Teleport Database Service 가상 머신 인스턴스, ID 섹션으로 이동하여 사용자 할당을 선택하고 방금 생성한 ID를 추가합니다:

5/8단계. SQL Server에서 관리형 ID 로그인 활성화#

Microsoft Entra ID SQL Server 통합은 데이터베이스 수준 인증(포함된 사용자)을 사용하므로 액세스하려는 각 데이터베이스에 ID에 대한 사용자를 생성해야 합니다.

ID에 대한 포함된 사용자를 생성하려면 Active Directory 관리자를 사용하여 SQL Server에 연결하고 쿼리를 실행합니다:

USE MyDatabase;
CREATE USER [sqlserver-identity] FROM EXTERNAL PROVIDER;

새로 생성된 사용자는 쿼리 수행에 충분하지 않은 권한을 가진 공개 역할에 연결될 수 있습니다. 사용자에게 개별 권한을 부여하거나 기존 역할에 할당하는 것을 고려해 보세요. 예를 들어 사용자를 db_datareader 역할의 구성원으로 추가합니다:

ALTER ROLE db_datareader ADD MEMBER [sqlserver-identity];

6/8단계. Database Service 구성 생성#

Teleport Database Service를 실행할 호스트에 Teleport를 설치합니다:

To install a Teleport Agent on your Linux server:

The recommended installation method is the cluster install script. It will select the correct version, edition, and installation mode for your cluster.

1. Assign to your Teleport cluster hostname and port, but not the scheme (https://).

2. Run your cluster's install script:

   $ curl "https:///scripts/install.sh" | sudo bash
   

Database Service에 대한 구성 파일을 /etc/teleport.yaml에 생성합니다. --proxy 명령줄 옵션을 Teleport 클러스터 주소로 설정하고 --azure-sqlserver-discovery를 적절한 지역으로 설정합니다:

$ sudo teleport db configure create \
   -o file \
   --token=/tmp/token \
   --proxy=:443 \
   --azure-sqlserver-discovery=eastus

이 명령은 eastus 지역에서 Azure SQL Server 자동 검색이 활성화된 Database Service 구성을 생성하여 /etc/teleport.yaml 위치에 저장합니다.

7/8단계. Teleport Database Service 시작#

Configure the Teleport Database Service to start automatically when the host boots up by creating a systemd service for it. The instructions depend on how you installed the Teleport Database Service.

You can check the status of the Teleport Database Service with systemctl status teleport and view its logs with journalctl -fu teleport.

8/8단계. 연결#

Teleport 클러스터에 로그인합니다. 데이터베이스가 사용 가능한 데이터베이스 목록에 나타나야 합니다:

$ tsh login --proxy= --user=alice
$ tsh db ls
Name                Description                       Allowed Users Labels Connect
------------------ ---------------------------------- ------------- ------ -------
sqlserver          Azure SQL Server in westeurope     [*]           ...
sqlserver-managed  Azure Managed SQL Server in eastus [*]           ...

데이터베이스에 대한 자격 증명을 검색하고 연결하려면:

$ tsh db connect --db-user=sqlserver-identity --db-name=master sqlserver

여기서 --db-user는 관리형 ID 이름입니다.

문제 해결#

ID를 찾을 수 없음#

데이터베이스에 연결할 때 could not find identity "my-identity" attached to the instance 오류가 표시되면 연결하려는 ID가 Teleport Database Service 가상 머신에 연결되어 있지 않은 것입니다. Azure Portal의 Virtual Machines 페이지로 이동하여 Teleport 인스턴스, ID 섹션을 열고 사용자 할당을 선택하여 연결할 수 있는 모든 ID를 확인합니다. ID가 표시되지 않으면 추가하는 방법은 4단계를 참고하세요.

사용자의 로그인 실패#

데이터베이스에 연결할 때 mssql: login error: Login failed for user '<token-identified principal>' 오류가 표시되면 관리형 ID 로그인이 SQL 데이터베이스에 없는 것입니다. 5단계에 설명된 대로 사용자를 생성해야 합니다. 연결하려는 모든 데이터베이스에 사용자를 생성해야 합니다.

데이터베이스 연결 시간 초과#

데이터베이스에 연결할 때 i/o timeout issue 오류가 발생하면 Teleport Database Service가 Azure의 데이터베이스에 연결할 수 있는지 확인하세요.

데이터베이스가 공개된 경우 방화벽 규칙을 생성하지 않고 Azure 서비스에서의 연결을 허용할 수 있습니다: 데이터베이스 페이지, 네트워크 탭으로 이동하여 페이지 하단의 예외 섹션에서 "Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용" 옵션을 선택하고 저장합니다.

데이터베이스가 공개되지 않고 프라이빗 엔드포인트를 사용하는 경우 동일한 VPC에 있는지, 또는 Teleport VM VPC가 데이터베이스 VPC와 피어링되어 있는지 확인하세요.

VM이 액세스 가능한지 확인하려면 VM에서 다음을 수행합니다:

• netcat 사용: nc -v yourdatabase.database.windows.net 1433
• telnet 사용: telnet yourdatabase.database.windows.net 1433

다음 단계#

• Learn how to restrict access to certain users and databases.

• View the High Availability (HA) guide.

• Take a look at the YAML configuration reference.

• See the full CLI reference.

추가 참고 자료#

• Azure SQL에 대한 Microsoft Entra 인증