Kubernetes에 tbot 배포

Static JWKS 키를 사용하여 Kubernetes에서 Machine & Workload Identity 에이전트 `tbot`을 설치하고 설정하는 방법

작동 방식

사전 조건

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1단계/4단계. 봇 만들기

2단계/4단계. 조인 토큰 만들기

3단계/4단계. `tbot` 배포 만들기

클러스터 이름을 Teleport 클러스터의 이름으로 교체하세요.

이것은 반드시 Teleport Proxy Service의 공개 주소일 필요는 없습니다.

Teleport Proxy Service의 주소로 교체하세요.

이전에 만든 조인 토큰의 이름과 일치하는지 확인하세요.

4단계/4단계. 출력 사용

다음 단계

이 가이드는 Kubernetes 클러스터에 Machine & Workload Identity 에이전트 tbot 을 배포하고 인증에 클러스터의 서비스 계정 발급자 키에 대한 정적 참조를 사용하는 방법을 보여줍니다. 작동 방식 # 이 가이드에서 보여주는 설정에서 tbot 은 Kubernetes 배포로 실행됩니다. 출력 자격 증명을 Kubernetes 시크릿에 작성하며, 그런 다음 자격 증명을 사용해야 하는 Pod에 마운트할 수 있습니다. tbot 은 자격 증명을 생성하는 서비스와 동일한 Pod 내에서 사이드카로 실행할 수도 있지만, Kubernetes가 사이드카에 대한 지원이 제한되어 있으므로 tbot 을 독립적인 배포로 실행하는 것이 좋습니다. 이 가이드에서는 kubernetes 조인 방법을 보여주며, 이 방법에서 tbot 은 Kubernetes API 서버가 서명한 JSON 웹 토큰(JWT)을 제시하여 Teleport Auth Service에 아이덴티티를 증명합니다. 이 JWT에는 tbot 이 실행 중인 서비스 계정, Pod 및 네임스페이스가 포함됩니다. Teleport Auth Service는 Kubernetes 클러스터의 공개 서명 키에 대해 JWT의 서명을 확인합니다. OIDC 조인 Amazon EKS와 같은 특정 클라우드 공급자는 OIDC 서명 키를 정기적으로 순환하며, 이로 인해 이 가이드에서 만드는 static_jwks 설정이 짧은 시간 후에 유효하지 않게 됩니다. Amazon의 Elastic Kubernetes Service(EKS), Google Kubernetes Engine(GKE) 및 Azure Kubernetes Service(AKS)와 같이 OIDC를 지원하는 Kubernetes 공급자에서는 대신 Kubernetes OIDC 조인 사용을 고려하세요. 다른 조인 방법 사용 tbot 을 Teleport 클러스터에 배포할 때는 일반적으로 kubernetes 조인 방법을 사용하는 것이 좋습니다. 이는 대부분의 Kubernetes 클러스터에서 작동합니다. 다음 가이드에서는 이 조인 방법 설정을 보여줍니다. 그러나 특정 클라우드 Kubernetes 서비스를 사용할 때는 kubernetes 조인 방법 대신 해당 플랫폼과 관련된 조인 방법을 사용할 수 있습니다. 단일 조인 토큰으로 Kubernetes 클러스터 내와 동일한 플랫폼의 표준 VM에서 tbot 조인을 관리하려는 경우에 유용합니다. 이러한 서비스는 다음과 같습니다: Google Kubernetes Engine: 클러스터에 GCP 워크로드 아이덴티티 가 설정된 경우 gcp 조인 방법을 사용할 수 있습니다. 자세한 내용은 GCP 플랫폼 가이드 를 참조하세요. Amazon Elastic Kubernetes Service: 클러스터에 서비스 계정을 위한 IAM 역할(IRSA) 이 설정된 경우 iam 조인 방법을 사용할 수 있습니다. 자세한 내용은 AWS 플랫폼 가이드 를 참조하세요. 사전 조건 # A running Teleport cluster. If you want