Teleport Relay Service

Teleport Relay 서비스 아키텍처

Info Teleport Relay 서비스는 SSH 프로토콜의 경우 버전 18.3.0부터, Kubernetes 프로토콜의 경우 버전 18.5.0부터 사용 가능합니다. 현재 다른 프로토콜은 지원되지 않습니다. Relay 서비스는 클라이언트와 리소스 간의 대체 연결 경로를 제공하는 Teleport 클러스터의 선택적 구성 요소입니다. Proxy 서비스와 유사하게 역방향 터널을 통해 리소스로의 연결을 전달합니다. 그러나 Proxy 서비스와 달리, Relay 서비스는 Teleport 컨트롤 플레인을 통해 연결을 라우팅하지 않습니다. 대신, Teleport 에이전트가 Relay 서비스에 직접 터널을 열 수 있게 하여, 클라이언트가 특정 네트워크 시나리오에서 더 낮은 레이턴시와 더 높은 효율성으로 리소스에 연결할 수 있게 합니다. 이 대체 연결은 클라이언트와 리소스가 물리적 또는 논리적으로 가까이 있는 것으로 알려진 상황(동일한 데이터 센터, 사무실, 캠퍼스, 지리적 지역)에서 유용하며, 컨트롤 플레인을 통한 일반 연결은 더 높은 레이턴시, 낮은 처리량 또는 더 높은 비용을 초래할 수 있습니다. Proxy 서비스와 달리, Relay는 웹 UI를 호스팅하거나, 연결을 가로채거나, 사용자를 가장하거나, Teleport 컨트롤 플레인 API에 대한 접근을 제공하지 않습니다. 따라서 배포 및 보안 유지가 더 간단하며, Proxy 인스턴스를 안전하게 배포하기 어려운 환경에서도 배포하기에 적합합니다. Warning Teleport Relay 서비스는 클라이언트와 에이전트가 동일한 네트워크 세그먼트에 있고 Teleport 컨트롤 플레인을 통하지 않는 연결이 필요한 특정 시나리오를 위해 설계되었습니다. 대부분의 Teleport 배포에서 필수 또는 권장 클러스터 구성 요소가 아닙니다. 작동 방식 # Relay 서비스 배포는 동일한 Relay 그룹 이름으로 구성된 하나 이상의 Relay 인스턴스로 구성되며, Teleport 에이전트와 클라이언트가 L4 네트워크 로드 밸런서를 통해 연결할 수 있습니다. 동일한 그룹의 Relay 인스턴스는 로드 밸런서를 통해 에이전트와 클라이언트로부터 연결을 받고, 서로 직접 연결할 수 있습니다. Relay 인스턴스는 에이전트와 클라이언트의 연결을 서비스하기 위해 두 개의 별도 포트에서 수신 대기하며, 세 번째 수신 포트는 동일한 그룹의 다른 Relay 인스턴스로부터의 직접 연결에 사용됩니다. 일반적인 설정은 에이전트에는 포트 3042, 클라이언트에는 포트 443을 사용하며 단일 호스트명으로 접근 가능한 두 포트를 서비스하는 로드 밸런서를 사용합니다. 그러나 필요한 경우 클라이언트와 에이전트 포트에 대해 다른 로드 밸런서와 호스트명을 사용하는 것도 가능합니다. Relay 인스턴스 간 연결을 위한 수신 포트는 로드 밸런서를 사용하지 않습니다. 각 Relay 인스턴스가 연결을 서비스하기 위해 특정 다른 인스턴스에 연결해야 할 수 있기 때문입니다. 따라서 Relay 서비스는 각 Relay 인스턴스에서 해당 포트의 피어로 아웃바운드 연결이 필요