내부 및 외부 Proxy Service 트래픽 분리

공개 인터넷의 트래픽을 내부 클라이언트 트래픽에서 격리하도록 Teleport Proxy Service를 설정하는 방법을 설명합니다.

Teleport Cloud에 배포된 클러스터를 포함한 일반적인 Teleport 클러스터에서 Teleport Proxy Service는 공개 인터넷의 사용자와 프라이빗 네트워크에서 실행되는 인프라 리소스 모두에 단일 HTTPS 포트를 노출합니다. 이를 필요로 하는 보안 요구사항이 있는 자체 호스팅 Teleport 클러스터의 경우, 공개 인터넷 또는 내부 네트워크에서 발생하는지에 따라 Proxy Service로의 트래픽을 다르게 처리하도록 클러스터를 구성할 수 있습니다. 이 가이드는 내부 및 외부 클라이언트에 대한 Proxy Service HTTPS 트래픽을 분리하기 위해 자체 호스팅 Teleport 클러스터를 설정하는 방법을 설명합니다. 아키텍처 # 원본에 따라 Teleport Proxy Service 트래픽을 다르게 처리하려면 별도의 Proxy Service 로드 밸런서를 배포할 수 있습니다: 공개 인터넷의 최종 사용자 트래픽을 위한 로드 밸런서 프라이빗 네트워크의 Teleport 에이전트 트래픽을 위한 로드 밸런서 각 로드 밸런서는 별도의 IP 주소를 가집니다. 두 로드 밸런서 모두 같은 AWS 타겟 그룹과 같이 동일한 Teleport Proxy Service 인스턴스 풀로 트래픽을 라우팅합니다. 클라이언트는 적절한 주소의 Proxy Service 로드 밸런서에 연결합니다. Teleport 에이전트는 내부 로드 밸런서에 연결하여 Proxy Service로 SSH 역방향 터널을 설정하고, 외부 클라이언트는 외부 로드 밸런서를 사용하여 Proxy Service에 연결합니다. 최종 사용자가 인프라 리소스에 연결할 때(예: tsh proxy db 사용 또는 Teleport 보호 애플리케이션에 HTTP 요청 전송), 외부 로드 밸런서에 연결하면 트래픽이 Teleport Proxy Service로 전달됩니다. 그런 다음 Proxy Service는 역방향 터널을 선택하여 트래픽을 적절한 인프라 리소스로 라우팅합니다. 적절한 로드 밸런서로 트래픽 라우팅 # 외부 Proxy Service 클라이언트용과 내부 클라이언트용의 두 개의 로드 밸런서를 배포했다고 가정하면, Teleport 에이전트와 최종 사용자에서 적절한 로드 밸런서로 트래픽을 라우팅하는 세 가지 전략이 있습니다: 분할 DNS 여러 공개 주소 터널 공개 주소 경고 분할 DNS 접근 방식을 강력히 권장합니다. 논의하는 세 가지 방법 중 이 방법이 Teleport 클러스터에 가장 덜 방해적인 변경을 요구하며, 다른 권장 구성을 지원하는 유일한 방법입니다. 분할 DNS # Teleport 클러스터의 단일 공개 주소가 최종 사용자에게 외부 엔드포인트로, 내부 네트워크의 인프라 리소스에 내부 엔드포인트로 확인되도록 인프라를 설정할 수 있습니다. 별도의 내부 및 외부 Proxy Service 로드 밸런서를 유지하기 위해 이 접근 방식을 강력히 권장합니다. 이것은 클러스터에 대한 다른 권장 구성을 유지하면서 구현할 수 있는 유일한 접근 방식입니다: TLS 다중화와 Proxy Service 공개 주소에 대