Teleport Proxy Service

Teleport의 신원 인식 프록시 서비스 아키텍처

Teleport Proxy Service는 웹 UI가 있는 신원 인식 프록시입니다. Teleport Proxy Service는 다음과 같은 주요 기능을 제공합니다: 사용자가 Teleport 웹 UI를 사용하여 SSO(Single Sign-On) ID 공급자 또는 로컬 자격증명으로 SSH 및 Windows 데스크톱에 인증할 수 있게 합니다. SSH, Kubernetes, HTTPS, 데이터베이스를 포함한 여러 프로토콜의 트래픽을 가로채고, 인증된 클라이언트만 대상 리소스에 연결할 수 있도록 보장합니다. 방화벽 뒤에 있는 서버와 프록시가 역방향 터널을 사용하여 연결할 수 있도록 네트워킹 및 연결성을 제공합니다. 시스템 관리자가 TLS 라우팅 기능을 사용하여 모든 프로토콜의 모든 포트를 단일 TLS 포트로 압축할 수 있게 합니다. 명령 및 API 호출을 기록하고, 이를 감사 로그에 쿼리하고 스트리밍합니다. 감사 로그는 Teleport Auth Service의 백엔드 중 하나에 저장됩니다. Tip 최소한의 Teleport 클러스터를 생성하려면 두 가지 서비스를 실행해야 합니다: Teleport Auth Service와 Teleport Proxy Service. 홈 랩을 위해서는 두 서비스를 단일 바이너리 및 프로세스로 실행할 수 있습니다. 웹 UI # 웹 UI에서 Teleport Proxy는 WSS(보안 웹 소켓)를 구현하여 SSH 서버 또는 Desktop과 같은 대상 리소스를 프록시합니다: TLS 암호화 웹 UI를 사용할 때, Teleport Proxy는 트래픽을 종료하고 클라이언트 연결을 위해 데이터를 재인코딩합니다. Identity-Aware-Proxy # IAP 모드에서 사용자는 클라이언트 머신의 공개 키에 서명하기 위해 SSO 또는 로그인 플로우를 시작합니다: IAP 모드 보안 IAP 모드는 개인 키가 사용자의 클라이언트를 떠나지 않기 때문에 웹 UI 접근보다 더 안전하다고 간주합니다. 리소스에 대한 클라이언트의 연결은 상호 인증됩니다. 이 모드는 브라우저를 덜 사용하기 때문에 CSRF나 쿠키 하이재킹과 같은 웹 관련 공격에도 덜 취약합니다. 터널 # 이 모드에서 방화벽 뒤의 리소스는 프록시로 역방향 터널을 설정할 수 있습니다. 프록시는 해당 터널을 통해 클라이언트의 연결을 대상 리소스로 전달합니다. 아래 예시에서 Alice는 두 개의 터널을 통해 방화벽 뒤의 Kubernetes 클러스터에 연결합니다: Tip 위의 모든 모드는 Proxy에서 기본적으로 활성화되어 있습니다. 일부 모드를 끄고 싶지 않다면 특별한 구성이 필요하지 않습니다. 추가 개념 # TLS 라우팅 아키텍처 개요 Teleport 인증 Teleport 인가 Teleport Proxy