Jacob Baek's home

Teleport란 Teleport는 CA(Certificate Authority) 와 infrastructure에 접근하는 Plane을 만들어주고 접근을 수행할수 있도록 해준다. Teleport는 다음과 같은 일반적인 기능을 제공한다. SSO설정과 SSH Server, Kubernetes, Database들, Web App들에 접근할 하나의 서버를 생성 Infrastructure에 대한 접근 정책을 다양한 Programming Language로 정의 모든환경의 세션에 대한 Record 및 공유가 가능 Teleport 상세 기능 SSH를 이용한 서버 접근 application 접근 Kubernetes 접근 DB 접근 Session 기록후 재생가능 Session 공유 및 join 가능 웹 UI 상의 term..

Grafana Login 을 Keycloak OAuth 방식을 사용하여 처리하는 과정에 대하여 간단히 정리하고자 한다. 실제 원하는 동작 구성은 다음과 같다. Prerequites 두개의 서버를 준비하여 docker로 각 서비스를 동작시킬 예정이다. (여기서는 가상머신 두개를 통해 환경을 구성했다. 실환경이라면 좀더 보안적인 요소와 설정에 대한 고려가 필요하다.) keycloak server (13.0.1) grafana server (8.0.2) keycloak 서비스 준비 Keycloak 서비스를 동작시키기 위해 아래와 같은 docker 명령을 실행하자. [root@keycloak-server ~]# docker run -d -p 8080:8080 -e KEYCLOAK_USER=admin --name..

Certificate 인증서(Certificate)를 가진 서버에 사용자(browser)가 접근하려 할때 해당 인증서(Certificate)를 검증하게 되고 신뢰된 서버라는 검증이 완료되면 통신을 수행하게 된다. 이때 사용되는 검증시 사용되는 것이 인증서라 할수 있으며 여기 포함된 public key를 통해 암호화된 통신을 제공하게 된다. 참고로 인증서내에는 소유자의 검증을 위한 중요정보(ex. public key, 인증서 발급자, 연관된 subdomain 정보등)이 포함된다. 실제 Browser에서 인증서를 export 해보면 아래와 같은 정보를 확인해볼수 있다. Subject Name Issuer Name Issued Certificate Certificate Fingerprints Public Ke..

Boundary 란? Boundary는 호스트와 서비스에 단순하고 안전한 접근을 제공한다. Boundary는 소개시에 대체로 SSH Bastion Hosts나 VPN 그리고 Firewall을 예로 들면서 설명이 이루어진다. 이러한 부분에서 짐작할수 있고 실제 이름에서도 볼수 있듯이 가장 외곽에 자리한 Firewall과 Bastion Host등과 같은 역할을 수행하게 될 시스템이라 볼수 있다. 가장 강조된 포인트는 신뢰 가능한 ID와 그에 맞는 ROLE이다. 일반적으로 VPN 및 SSH bastion host 연결에 대한 접근 권한을 firewall을 통해 제어하게 되는데 이를 좀더 앞단에 계정을 가지고 제어한다라 보면 좋을듯 하다. 즉, Boundary를 통해 신뢰가능한 ID가 적당한 역할에 기반한 권한..