셀프 호스팅 클러스터에서 Teleport Identity Security 실행

셀프 호스팅 클러스터에 Access Graph를 배포하는 방법을 설명합니다.

이 가이드는 셀프 호스팅 Teleport 클러스터에서 Teleport Access Graph를 설정하는 방법을 보여줍니다. 작동 방식 # Auth Service, Proxy Service, 에이전트 서비스와 같은 Teleport 서비스와 달리, Teleport Access Graph는 teleport 바이너리에서 실행되지 않고 컨테이너 이미지로 Teleport에서 제공되는 별도의 소프트웨어로 실행됩니다. Teleport Access Graph는 TLS 자격 증명을 사용하여 Teleport Auth Service에 인증합니다. 또한 백킹 스토리지를 위해 PostgreSQL에 연결해야 합니다. Teleport 클러스터에서 자격 증명을 획득한 후, Teleport Access Graph에 대한 구성 파일을 만들고 구성 파일과 Teleport 자격 증명을 로드하는 컨테이너를 시작합니다. 사전 조건 # 실행 중인 Teleport Enterprise 클러스터. Teleport Identity Security가 활성화된 업데이트된 Teleport Enterprise 라이선스 파일. Docker 버전 v [docker.version] 이상. PostgreSQL 데이터베이스 서버 v14 이상. Access Graph는 데이터를 저장할 전용 데이터베이스 가 필요합니다. Access Graph가 데이터베이스에 연결하는 사용자는 이 데이터베이스의 소유자이거나 유사한 광범위한 권한이 있어야 합니다: public 스키마에 대한 최소 CREATE TABLE 권한, CREATE SCHEMA 권한. Amazon RDS for PostgreSQL을 지원합니다. Access Graph 서비스에 대한 TLS 인증서 TLS 인증서는 "서버 인증" 키 사용으로 발급해야 하며, X.509 v3 subjectAltName 확장에 Access Graph 서비스의 IP 또는 DNS 이름을 나열해야 합니다. Access Graph 서비스 버전 1.20.4부터 컨테이너는 기본적으로 비루트 사용자로 실행됩니다. 컨테이너를 실행하는 사용자가 인증서 파일을 읽을 수 있는지 확인하세요. 다음 명령으로 올바른 권한을 설정할 수 있습니다: $ sudo chown 65532 /etc/access_graph/tls.key Access Graph 서비스를 실행하는 노드는 Teleport Auth Service 및 Proxy Service에서 접근할 수 있어야 합니다. Warning Docker를 사용한 배포는 테스트 및 개발 목적에 적합합니다. 프로덕션 배포의 경우 Kubernetes에서 이 서비스를 배포하기 위해 Access Graph Helm 차트를 사용하는 것을 고려하세요. 지침은 Access Graph용 Helm 차트 를 참조하세요. 1단계/3단계. Access Graph 설정 # Access Graph 서비스를 호스팅하는 머신에 Teleport 클러스터의 호스트 인증 기관(CA) 사본이 필요합니다. 이 서비스는 Auth Service와 Proxy Service에 호스트 CA가 발급하는 호스트