고가용성 Teleport 클러스터 배포

프로덕션 환경에서 Teleport를 배포할 때, Teleport 클러스터에서 인시던트가 발생하는 동안 사용자가 인프라에 계속 접근할 수 있도록 배포를 설계해야 합니다. 또한 Teleport에 더 많은 사용자와 리소스를 등록함에 따라 Auth Service 및 Proxy Service를 확장할 수 있어야 합니다. 이 가이드에서는 고가용성 Teleport 배포의 구성 요소를 설명합니다. 개요 # 고가용성 Teleport 클러스터는 두 개의 중복 teleport 프로세스 풀을 중심으로 구성됩니다. 하나는 Auth Service를 실행하고 다른 하나는 Proxy Service를 실행하며, 각 풀을 지원하는 데 필요한 인프라가 있습니다. 인프라 구성 요소는 다음과 같습니다: 사용자 및 서비스의 트래픽을 사용 가능한 Proxy Service 인스턴스로 전달하는 공개 레이어 4 로드 밸런서 . Proxy Service에서 Auth Service의 gRPC API로 트래픽을 전달하는 프라이빗 레이어 4 로드 밸런서 . 이는 Teleport가 Auth Service의 백엔드 상태를 관리하고 클러스터의 사용자 및 서비스에 자격 증명을 제공하는 방법입니다. 클러스터 상태 백엔드 . 이는 모든 Auth Service 인스턴스가 접근할 수 있는 클러스터 상태 및 감사 이벤트를 위한 키-값 저장소입니다. Auth Service 인스턴스가 키-값 저장소 내의 레코드를 관리할 권한이 필요합니다. 세션 녹화 백엔드 . Auth Service가 세션 녹화를 업로드하는 객체 저장 서비스입니다. 세션 녹화 백엔드는 teleport 인스턴스가 저장 서비스 내의 객체를 관리할 권한이 필요합니다. TLS 자격 증명 프로비저닝 시스템 . Let's Encrypt(또는 내부 공개 키 인프라)와 같은 인증 기관에서 TLS 자격 증명을 얻고, teleport 인스턴스에 제공하고, 주기적으로 갱신하는 방법이 필요합니다. DNS 서비스 . Teleport Proxy Service에 대한 레코드를 생성하는 데 사용할 수 있습니다. TLS 자격 증명에 Let's Encrypt를 사용하는 경우, TLS 자격 증명 프로비저너는 도메인 이름에 대한 제어를 증명하기 위해 DNS 레코드를 관리해야 합니다. 레이어 4 로드 밸런서 # 고가용성 Teleport 클러스터에는 두 개의 로드 밸런서가 필요합니다: Proxy Service 로드 밸런서: Teleport 클러스터가 실행 중인 네트워크 외부에서 트래픽을 받아 사용 가능한 Proxy Service 인스턴스로 전달하는 로드 밸런서. 이 로드 밸런서는 다양한 애플리케이션 레이어 프로토콜에서 사용자 및 서비스의 TCP 트래픽을 처리합니다. Auth Service 로드 밸런서: Proxy Service 인스턴스에서 사용 가능한 Auth Service 인스턴스로 트래픽을 전달하는 로드 밸런서. Auth Service의 gRPC 엔드포인트에 대한 TLS 트래픽을 처리합니다. 두 로드 밸런서 모두 TLS를 종료하지 않고 수신하는 TCP 트래픽을 투명하게 전달해야