TLS 라우팅 마이그레이션

기존 Teleport 클러스터를 단일 포트 TLS 라우팅 모드로 업그레이드하는 방법

TLS 라우팅 모드에서는 모든 Teleport 클라이언트 연결이 TLS로 래핑되어 하나의 Teleport Proxy Service 포트에서 멀티플렉싱됩니다. TLS 라우팅은 각 프로토콜이 별도의 포트에서 제공되는 배포 방식에 비해 여러 가지 이점이 있습니다: 모든 클라이언트가 단일 포트를 통해 Teleport 프록시에 연결하므로 네트워크 정책 구성이 단순해집니다. 클라이언트와 Teleport 프록시 간의 모든 통신이 상호 TLS로 인증됩니다. 사용자는 SSH와 같이 내부 네트워크에서 일반적으로 차단될 수 있는 프로토콜을 터널링할 수 있습니다. Teleport를 업그레이드해도 기본적으로 TLS 라우팅이 활성화되지 않으며 클러스터는 하위 호환성 모드로 계속 동작합니다. 이 가이드를 따라 Teleport 설치를 TLS 라우팅으로 마이그레이션하세요. Teleport Enterprise Cloud는 Proxy Service의 네트워크 구성을 자동으로 관리합니다. Teleport Enterprise Cloud의 무료 체험판 을 시작하세요. 사전 요구사항 # Teleport Cloud를 사용하는 경우, Teleport Cloud 테넌트에서 Proxy Service가 사용하도록 구성된 포트 및 네트워크 설정을 확인하세요. 다음 명령을 실행하되 mytenant.teleport.sh 를 테넌트 주소로 바꾸세요: $ curl https://mytenant.teleport.sh/webapi/ping | jq '.proxy' 1단계/7. Teleport 업그레이드 # 다운로드 페이지 또는 엔터프라이즈 포털에서 Teleport를 다운로드하고 표준 업그레이드 절차 를 따르세요. 루트 및 리프 클러스터와 tsh 클라이언트를 모두 업그레이드해야 합니다. 2단계/7. 프록시 멀티플렉싱 활성화 # 루트 클러스터 Auth Service의 구성을 업데이트하여 프록시 리스너 모드를 "multiplex"로 설정합니다: auth_service: proxy_listener_mode: multiplex 이 설정은 클라이언트( tsh 또는 역방향 터널 에이전트 등)에게 TLS 라우팅을 사용하여 웹 프록시 포트에 연결해야 한다는 것을 나타냅니다. 호환성 멀티플렉싱을 활성화해도 신뢰할 수 있는 클러스터, 역방향 터널 에이전트 및 tsh/ssh 클라이언트의 기존 연결에는 영향을 주지 않습니다. 레거시 리스너가 활성화되어 있는 한( 7단계 참조), 모든 클라이언트는 아래 설명된 대로 tsh/ssh의 경우 재시작하거나 다시 로그인/재구성할 때까지 하위 호환성 모드로 계속 연결합니다. 3단계/7. 신뢰할 수 있는 클러스터 재연결 # 이미 웹 프록시 포트에서 신뢰할 수 있는 클러스터 연결을 멀티플렉싱하고 있는 경우(즉, 프록시 구성에서 web_listen_addr 와 tunnel_listen_addr 가 동일한 포트를 가지고 있는 경우) 이 단계를 건너뛸 수 있습니다. 그렇지 않은 경우, 신뢰할 수 있는 클러스터를 업데이트하여 web_proxy_addr 와 tunnel_addr 모두 루트 클러스터