Machine & Workload Identity 문제 해결 가이드

Machine & Workload Identity의 일반적인 문제 해결

이 페이지는 Machine & Workload Identity(MWI)를 설정할 때 발생할 수 있는 문제에 대한 해결 단계를 제공합니다. 봇이 "generation mismatch"로 인해 인증서 갱신에 실패했습니다 # 증상 # 봇이 다음과 같은 오류를 기록합니다: ERROR: renewable cert generation mismatch: stored=3, presented=2 봇의 후속 연결 시도에서 다음과 같은 오류가 발생할 수 있습니다: ERROR: failed direct dial to auth server: auth API: access denied [00] "\tauth API: access denied [00], failed dial to auth server through reverse tunnel: Get \"https://teleport.cluster.local/v2/configuration/name\": Get \"https://example.com:3025/webapi/find\": x509: cannot validate certificate for example.com because it doesn't contain any IP SANs" "\tGet \"https://teleport.cluster.local/v2/configuration/name\": Get \"https://example.com:3025/webapi/find\": x509: cannot validate certificate for example.com because it doesn't contain any IP SANs" 특히, auth API: access denied 메시지에 주목하세요. 셀프 호스팅 Teleport 배포에서는 Teleport Auth Service도 추가 컨텍스트를 제공합니다: [AUTH] WARN lock targeting User:"bot-example" is in force: The bot user "bot-example" has been locked due to a certificate generation mismatch, possibly indicating a stolen certificate. auth/apiserver.go:224 설명 # Note 이는 일회성 공유 비밀을 사용하는 token 조인 방법을 사용하는 봇에만 적용됩니다. GitHub, AWS IAM 등과 같은 제공업체별 조인 방법은 봇의 다른 인스턴스가 token 조인을 사용하지 않는 한 이런 방식으로 잠기지 않습니다. Machine & Workload Identity(토큰 기반 조인)는 인증서 생성 카운터를 사용하여 잠재적으로 도난된 갱신 가능한 인증서를 감지합니다. 봇이 새 갱신 가능한 인증서를 가져올 때마다, Auth Service는 카운터를 증가시키고 백엔드에 저장하며 인증서에 카운터 복사본을 내장합니다. 봇 인증서에 내장된 카운터가 Teleport의 Auth Service에 저장된 카운터와 일치하지 않으면, 갱신이 실패하