신뢰할 수 있는 클러스터 구성

두 Teleport 클러스터 간의 신뢰 관계를 구성하고 접근을 관리하는 방법을 설명합니다.

참고 신뢰할 수 있는 클러스터는 자체 호스팅 Teleport 클러스터에서만 사용할 수 있습니다. 핵심 개념 에서 배운 것처럼, Teleport 클러스터는 Teleport Auth Service, Teleport Proxy Service, 그리고 인프라의 리소스에 대한 접근을 관리하는 Teleport 서비스로 구성됩니다. Teleport를 사용하면 인프라를 여러 연결된 클러스터로 분할하여 하나의 클러스터( 루트 클러스터 )의 사용자가 단일 Teleport Auth Service로 인증된 채로 다른 클러스터( 리프 클러스터 )의 리소스에 연결할 수 있습니다. 루트 클러스터와 리프 클러스터 간에 신뢰 관계를 설정한 후, 리프 클러스터는 인바운드 포트를 열지 않고 방화벽 뒤에서 실행될 수 있습니다. 리프 클러스터는 루트 클러스터로의 아웃바운드 역방향 SSH 터널을 생성하고 터널을 열린 상태로 유지합니다. 사용자가 리프 클러스터의 리소스에 연결하려고 할 때, 리프 클러스터의 Teleport Auth Service는 루트 클러스터에서 실행 중인 Teleport Proxy Service 인스턴스를 사용하여 역방향 터널을 통해 루트 클러스터에 연결합니다. 경고 루트 클러스터와 리프 클러스터 간에 신뢰 관계가 설정되면, 루트 Proxy Service는 리프 Proxy Service에게 임의의 주소로 네트워크 연결을 설정하도록 요청할 수 있습니다. 이것이 루트 클러스터가 리프 클러스터의 리소스에 접근하는 방식입니다. 침해된 루트 Proxy Service는 리프 Proxy Service에게 민감하거나 허가되지 않은 리소스에 연결하도록 요청할 수 있으므로, 리프 Proxy Service가 적절한 리소스에만 연결할 수 있도록 방화벽을 사용해야 합니다. 작동 방식 # 다음 예시에서, 관리 서비스 제공업체(MSP)는 서로 다른 지역의 고객에게 접근을 제공하기 위해 세 개의 독립적인 클러스터를 사용합니다: 클러스터 msp-root.example.com 은 루트 클러스터입니다. 이 클러스터는 자체 리소스를 가지거나 감사 로그 수집 및 사용자 인증 전용으로 사용될 수 있습니다. 클러스터 leaf-east.example.com 과 leaf-west.example.com 은 서로 다른 지역의 고객에게 서비스를 제공하는 두 개의 독립적인 리프 클러스터입니다. 각 클러스터는 독립적인 x.509 및 SSH 인증 기관으로 자율적으로 운영될 수 있습니다. 각 리프 클러스터는 루트 클러스터로 역방향 터널을 다이얼백합니다. 여러 Proxy Service 인스턴스가 있는 경우 고가용성을 위해 여러 터널이 있습니다. 다음 다이어그램은 아키텍처의 단순화된 뷰를 제공합니다: 이 다이어그램에서 보여주듯이, 사용자는 루트 클러스터에 로그인하여 루트 클러스터 인증 기관이 서명한 인증서를 받을 수 있습니다. 그런 다음 직접 또는 루트 클러스터를 배스천 호스트로 사용하여 리프 클러스터에 연결할 수 있습니다. 사용자가 로그인하면 인증서의 정보와 루트 클러스터의 역할이 리프 클러스터의 역할에 매핑되는 방