EC2 에이전트의 관리형 업데이트 v2

cloud-init 스크립트로 EC2 인스턴스를 설정하고 "teleport-update enable"로 Teleport를 설치하는 방법을 설명합니다.

이 가이드에서는 Linux EC2 인스턴스를 관리형 업데이트 v2 하에 두고 teleport-update 를 사용하여 그룹과 프록시 주소를 정의함으로써 업데이트 그룹에 할당하는 두 가지 cloud-init 패턴을 보여줍니다. 작동 방식 # 이 가이드는 위임된 조인 방법을 사용하여 첫 번째 부팅 시 에이전트를 클러스터에 조인하고 클러스터에 관리형 업데이트 v2가 활성화되어 있다고 가정합니다. 위임된 조인은 사용자 데이터에 시크릿 토큰을 포함할 필요가 없습니다. 컨텍스트 규칙(AWS 계정, 역할 ARN, 리전 등)을 인코딩하는 명명된 토큰 리소스를 생성하면 에이전트가 클라우드 발급 자격 증명을 사용하여 Auth Service에 자신의 ID를 증명합니다. 에이전트는 IAM 자격 증명(예: EC2 인스턴스 프로파일, IRSA, 또는 환경 변수)을 가져올 수 있습니다. IAM 조인 방식의 작동 원리를 자세히 설명하면 다음과 같습니다: 노드가 자체 IAM 자격 증명(예: EC2 인스턴스 역할)을 사용하여 AWS STS GetCallerIdentity 요청에 서명합니다. 노드는 이 사전 서명된 요청을 조인 핸드셰이크의 일부로 Teleport Auth Service에 전송합니다. Auth Service는 자체 자격 증명으로 AWS API를 직접 호출하지 않습니다. 대신, 해당 사전 서명된 GetCallerIdentity 요청을 HTTPS를 통해 실행합니다. AWS STS가 ID 정보(계정 ID, ARN 등)를 반환합니다. Teleport는 해당 ID를 토큰의 허용 규칙과 비교하여 검증합니다. 이 가이드에서는 설치를 위해 teleport-update 바이너리를 사용합니다. teleport-update enable 명령은 클러스터에서 알리는 버전으로 Teleport를 설치하고 호스트에서 관리형 업데이트 v2를 활성화합니다. 또한 teleport-update 타이머와 함께 Teleport에 필요한 systemd 유닛을 생성하며, 이 타이머는 teleport-update update 를 주기적으로 실행합니다. 추가적으로, 전달한 플래그 대부분(-g, -p, -b 등)을 저장하므로 명령을 다시 실행하면 저장된 설정이 업데이트됩니다. 전체 관리형 업데이트 v2 지침은 에이전트 관리형 업데이트(v2) 를 참조하세요. 모든 에이전트는 업데이트 그룹(예: development, staging, prod)에 속하며, 그룹이 구성되지 않은 경우 default 가 사용됩니다. 클러스터 측의 autoupdate_config 리소스는 각 그룹이 업데이트할 수 있는 시기를 정의합니다. 클라우드 또는 자체 호스팅 클러스터는 동일한 일정 모델을 사용합니다. 자체 호스팅 클러스터는 autoupdate_version 리소스를 통해 원하는 버전도 설정합니다. 1/5단계. 조인 토큰 생성 # 조인 프로세스와 지원되는 조인 방법에 대한 자세한 설명은 조인 문서 를 참조하세요. IAM 조인 방법은 EC2 인스턴스를 조인하는 권장 방법입니다. 더 강력한 보안 보장, 더 세부적인 조인 제어, 더