AWS 멀티 리전 프록시 서비스 배포

Proxy Peering과 Route 53을 사용하여 고가용성 멀티 리전 Teleport 클러스터를 배포하는 방법.

이 배포 아키텍처에는 두 가지 중요한 설계 결정이 포함되어 있습니다: Amazon Route 53 지연 시간 기반 라우팅을 사용하여 사용자와 에이전트가 가장 가까운 프록시에 연결하도록 합니다. Teleport의 프록시 피어링 을 사용하여 Teleport 클러스터의 총 터널 연결 수를 줄입니다. 이 배포 아키텍처는 사용자나 리소스가 단일 리전에 집중되어 있거나, 고객에게 별도의 클러스터를 제공해야 하는 매니지드 서비스 제공업체에게는 권장되지 않습니다. 이 아키텍처는 전 세계에 분산된 리소스와 최소 지연 시간을 유지하면서 단일 진입점을 선호하는 최종 사용자에게 가장 적합합니다. 이 가이드는 인프라가 AWS GovCloud에 호스팅되어 있지 않고 에어갭 AWS 환경(EKS Anywhere)에 있지 않다고 가정합니다. 그런 경우라면 배포 계획 지원을 위해 Teleport 팀에 연락 하세요. 주요 배포 구성 요소 # AWS 에코시스템에 독점적으로 배포 단일 리전에 있어야 하는 Auth Service 인스턴스의 고가용성 Auto Scaling 그룹 여러 리전에 배포된 Proxy Service 인스턴스의 고가용성 Auto Scaling 그룹 Amazon Route 53 지연 시간 기반 라우팅 Teleport 사용에 필요한 포트 수를 줄이기 위한 Teleport TLS 라우팅 리소스 연결 수를 줄이기 위한 Teleport 프록시 피어링 AWS 네트워크 로드 밸런싱 클러스터 상태 저장을 위한 Amazon DynamoDB 세션 녹화 저장을 위한 AWS S3 이 배포 아키텍처의 장점 # 여러 리전에서 여러 Teleport 클러스터를 유지하는 복잡성과 비용을 제거합니다. 사용자를 리소스에 연결하는 데 가장 낮은 지연 경로를 사용합니다. 조직의 요구에 따라 신속하게 확장할 수 있는 고탄력, 중복 HA 아키텍처를 제공합니다. 모든 필요한 Teleport 구성 요소를 AWS 에코시스템 내에서 프로비저닝할 수 있습니다. Proxy Service 및 Auth Service에 로드 밸런서를 사용하면 Teleport 클러스터 업그레이드 중 가용성이 향상됩니다. 이 배포 아키텍처의 단점 # Teleport Auth Service 인스턴스가 단일 리전으로 제한될 때 AWS 리전 중단 중 가용성 감소 가능성이 높습니다. 단일 리전 Teleport 클러스터보다 기술적으로 배포가 복잡합니다. AWS 네트워크 로드 밸런서(NLB) # 이 고가용성 배포 아키텍처에는 AWS NLB가 필요합니다. NLB는 사용자 및 서비스로부터 사용 가능한 Teleport Proxy Service 인스턴스로 트래픽을 전달합니다. TLS를 종료해서는 안 되며, 수신하는 TCP 트래픽을 투명하게 전달해야 합니다. 즉, 이는 레이어 4 로드 밸런서여야 하며, 레이어 7(예: HTTP) 로드 밸런서가 아닙니다. 참고 여러 영역에 걸쳐 트래픽을 라우팅하려면 Auth Service 및 Proxy Service NLB 구성에 교차 영역 로드 밸런싱이 필요합니다. 이렇게 하면 로컬화된 AWS 영역 중단에 대한 탄력성