Bound Keypair 정적 키로 tbot 배포하기

Bound Keypair 정적 키로 tbot을 설치하고 구성하는 방법

작동 방식

필수 조건

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1단계/7단계. `tbot` 설치

2단계/7단계. Bot 생성

3단계/7단계. 키 쌍 및 참여 토큰 생성

4단계/7단계. 개인 키 저장

파일로 bot 호스트에 키 저장

환경 변수에 키 저장

5단계/7단계. `tbot` 구성

환경 변수 키 사용

출력은 접근 가이드 완료 중에 채워집니다.

파일 키 사용

출력은 접근 가이드 완료 중에 채워집니다.

6단계/7단계. `tbot`이 Teleport에 인증할 수 있는지 확인

7단계/7단계. 서비스 구성

다음 단계

이 가이드에서는 Bound Keypair 정적 키를 사용하여 임의의 상태 비저장 환경에 Machine and Workload Identity의 에이전트인 tbot 을 설치합니다. 이는 Teleport의 전용 참여 방법 이 아직 지원되지 않는 공급자에서의 CI/CD 작업, 임시 베어메탈 노드, 또는 쓰기 가능한 영구 저장소가 없는 다른 환경일 수 있습니다. Bound Keypair 참여는 시크릿 기반 참여 방법 에 대한 더 유연한 대안이며, 정적 키는 일부 기본 보안 요구 사항을 완화하여 임의의 노드가 참여할 수 있도록 합니다. 영구 저장소 공급자에 Kubernetes PVC나 유사한 쓰기 가능한 영구 저장소가 있다면 표준 Bound Keypair 가이드 를 따르세요. 작동 방식 # Bound Keypair 참여는 일반적으로 추가 신원 증명을 저장하기 위한 쓰기 가능한 클라이언트 측 저장소에 접근할 수 있다고 가정하지만, Bound Keypair 정적 키를 사용하면 이 요구 사항이 해제됩니다. 일반적으로 실제 Bound Keypair 키는 tbot 클라이언트가 내부적으로 관리하므로 필요에 따라 생성하고 교체할 수 있습니다. 정적 키를 사용하면 개인 키의 직접적인 소유권을 갖고 플랫폼 키스토어처럼 원하는 방식으로 저장할 수 있습니다. tbot 클라이언트는 자동으로 관리하는 대신 사용자의 정적 개인 키를 사용하도록 구성됩니다. 보안 고려 사항 정적 키 참여는 클라이언트 측 저장소를 사용할 수 있을 때 수행되는 특정 보안 검사를 완화합니다. 이는 다른 참여 방법이 불가능한 경우를 위해 설계되었습니다. 계속하기 전에 다음을 고려하세요: 플랫폼에서 사용 가능한 경우 전용 참여 방법 을 사용하세요. 환경에 쓰기 가능한 영구 저장소가 있다면 표준 Bound Keypair 참여 를 사용하세요. 프로덕션 환경에서 사용하기 전에 정적 키와 그것이 필요로 하는 트레이드오프 에 대해 더 읽어보세요. 필수 조건 # 버전 18.2.0 이상의 실행 중인 Teleport 클러스터. tsh , tctl , tbot 클라이언트. To check that you can connect to your Teleport cluster, sign in with tsh login , then verify that you can run tctl commands using your current credentials. For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username: $ tsh login --proxy= --user= $ tctl status # Cluster (=teleport.url=) # Version (=teleport.version=) # CA pin (=presets.ca_pin=) If you can connect to the cluster and run the tc