Kubernetes ServiceAccount 토큰으로 서비스 조인

Kubernetes ServiceAccount 토큰을 사용하여 Auth Service와 동일한 Kubernetes 클러스터에서 실행 중인 서비스를 조인하세요.

이 가이드에서는 Kubernetes 조인 방법 을 사용하여 Auth Service와 동일한 Kubernetes 클러스터에서 실행 중일 때 시크릿을 공유하지 않고 Teleport 서비스가 Teleport 클러스터에 조인하도록 구성하는 방법을 설명합니다. 작동 방식 # Teleport 서비스가 클러스터의 일부가 되려면 인증서를 받기 전에 Teleport Auth Service에 자신의 신원을 증명해야 합니다. Kubernetes는 각 파드가 어떤 Kubernetes ServiceAccount를 사용할 수 있는지 설명하는 서명된 증명을 발급합니다. Kubernetes 조인 방법을 사용할 때 Teleport는 이 Kubernetes 증명을 사용하여 클러스터의 일부가 됩니다. Warning Kubernetes 조인 방법은 조인하는 서비스가 Auth Service와 동일한 Kubernetes 클러스터에서 실행되어야 하므로 Teleport Enterprise Cloud에서는 사용할 수 없습니다. Kubernetes 조인 방법은 Teleport의 셀프 호스팅 버전에서 사용 가능합니다. Auth Service와 동일한 Kubernetes 클러스터에서 실행 중인 모든 Teleport 서비스의 조인을 지원합니다. 사전 요구 사항 # Kubernetes에서 실행 중인 Teleport 클러스터. 설정 방법에 대한 자세한 내용은 Helm을 사용한 Teleport 실행 가이드 를 참조하세요. Teleport 클러스터를 실행하는 Kubernetes 클러스터에 대한 편집 권한. Namespace와 Deployment를 생성할 수 있어야 합니다. access 역할 또는 app: demo-app 레이블이 있는 애플리케이션에 대한 접근을 허용하는 다른 역할을 가진 Teleport 사용자 Teleport editor 역할 또는 기존 Teleport Auth Service 파드에 kubectl exec 를 실행할 수 있는 권한. Auth Service ServiceAccount에는 system:auth-delegator ClusterRole이 부여되어야 합니다. teleport-cluster Helm 차트 로 배포된 클러스터는 기본적으로 올바른 역할을 가지고 있습니다. 1단계/5단계. Kubernetes 조인 토큰 생성 # Kubernetes 클러스터에 호스팅된 Teleport 서비스가 Teleport 클러스터에 조인할 수 있도록 조인 토큰(프로비전 토큰이라고도 함)으로 Teleport Auth Service를 구성합니다. 내부적으로 Teleport 인스턴스는 Kubernetes 조인 토큰에 구성된 allow 규칙과 일치하는 서명된 ServiceAccount 토큰을 전송하여 동일한 Kubernetes 클러스터에서 실행 중임을 Auth Service에 증명합니다. Teleport 서비스가 실행 중인 Kubernetes 네임스페이스와 Kubernetes ServiceAccount를 지정하는 allow 규칙을 포함하여 다음 내용으로 token.yaml 파일을 생성합니다. # tok