Bound Keypair 참여로 tbot 배포하기

Bound Keypair 참여로 tbot을 설치하고 구성하는 방법

이 가이드에서는 Bound Keypair 참여를 사용하여 임의의 호스트에 Machine & Workload Identity의 에이전트인 tbot 을 설치합니다. 이 호스트는 베어메탈 머신, VM, 컨테이너 또는 다른 호스트가 될 수 있습니다. 유일한 요구 사항은 호스트에 영구 저장소가 있어야 한다는 것입니다. Bound Keypair 참여는 시크릿 기반 참여 방법 에 대한 개선된 대안이며 즉시 사용 가능한 교체재로 기능할 수 있습니다. 정적 토큰 참여보다 더 안전하고, 갱신 가능한 인증서를 사용하는 임시 토큰 참여보다 더 유연합니다. 인증서가 만료되면 자동 복구를 수행하여 장기 장애 후에도 bot이 재참여할 수 있도록 합니다. 플랫폼별 참여 방법이 환경에 더 적합할 수 있습니다. 전체 옵션 목록은 배포 가이드 를 참조하세요. 작동 방식 # Bound Keypair 참여를 사용하면 Machine & Workload Identity bot이 내부 데이터 디렉터리에 영구적으로 저장되는 고유한 키 쌍을 생성합니다. 그런 다음 Teleport는 향후 참여 시도를 위해 이 공개 키를 신뢰하도록 구성됩니다. 나중에 bot이 클러스터에 참여하려고 할 때, Teleport는 개인 키만으로 완료할 수 있는 챌린지를 bot에게 발행합니다. bot은 해결된 챌린지를 반환하여 자체 신원을 증명하고, 조건부로 클러스터에 참여할 수 있게 됩니다. 이 프로세스는 모든 참여 시도마다 반복되지만, bot이 인증서가 만료될 만큼 충분히 오래 오프라인 상태였다면 다시 참여하기 위해 추가적으로 자동 복구를 수행해야 합니다. 자체 증명은 AWS와 같은 클라우드 공급자나 전용 TPM에서 제공하는 외부 검증보다 본질적으로 덜 안전하기 때문에, Bound Keypair 참여는 남용을 방지하기 위한 다양한 추가 검사를 시행합니다: 키 쌍이 유용하게 공유되거나 복제될 수 없도록 하는 참여 상태 검증 정규 bot 인증서가 유용하게 공유되거나 복제될 수 없도록 하는 인증서 생성 카운터 검사 bot이 이 키 쌍을 사용하여 자동으로 복구할 수 있는 빈도에 대한 구성 가능한 제한 Bound Keypair 참여의 중요한 이점은 모든 참여 제한이 언제든지 재구성될 수 있으며, 만료되거나 오프라인 상태가 된 bot은 클라이언트 측 개입 없이 서버 측 예외를 만들어 복구할 수 있다는 것입니다. 이 참여 방법이 어떻게 작동하고 프로덕션에서 사용하는 방법에 대한 자세한 내용은 참조 페이지 를 참조하세요. 필수 조건 # 버전 18.1.0 이상의 실행 중인 Teleport 클러스터. tsh 및 tctl 클라이언트. To check that you can connect to your Teleport cluster, sign in with tsh login , then verify that you can run tctl commands using your current credentials. For example, run the following command, assigning to the