IaC로 Kubernetes OIDC 조인 구성하기

인프라스트럭처-애즈-코드 도구를 사용하여 Teleport Kubernetes 에이전트를 조인합니다.

이 가이드에서는 Kubernetes 에이전트가 시크릿 토큰 없이 Teleport에 조인할 수 있도록 Teleport를 구성하는 방법을 알아봅니다. Teleport는 코드에서 리소스를 동적으로 생성하는 세 가지 방법을 지원합니다: Kubernetes에서 Teleport 리소스를 관리할 수 있는 Teleport Kubernetes Operator Terraform을 통해 Teleport 리소스를 관리할 수 있는 Teleport Terraform 프로바이더 로컬 컴퓨터나 CI 환경에서 Teleport 리소스를 관리할 수 있는 tctl CLI 작동 방식 # 이 가이드는 Kubernetes 조인 방법 의 OIDC 변형을 사용합니다. 대부분의 Kubernetes 클러스터는 OpenID Connect(OIDC) 프로바이더를 사용하여 서비스 어카운트 토큰에 서명합니다. 이 가이드에서는 Kubernetes 클러스터에서 실행 중인 에이전트가 Kubernetes 발급 토큰을 사용하여 Teleport 클러스터에 조인할 수 있도록 Teleport를 구성합니다. 사전 요구 사항 # 이 가이드를 따르려면 다음이 필요합니다: v18.1.5 이상을 실행 중인 Teleport 클러스터 등록하려는 Kubernetes 클러스터로, 서비스 어카운트 토큰이 공개적으로 접근 가능한 OIDC 프로바이더에 의해 서명되어야 합니다. Note 클라우드 관리형 Kubernetes 클러스터는 기본적으로 공개 OIDC 프로바이더를 사용하거나, 클러스터 생성 시 구성할 수 있습니다: EKS 및 GKE 클러스터는 모두 공개적으로 접근 가능한 OIDC 프로바이더를 가져야 합니다. AKS 클러스터에서는 선택 사항 입니다. OKE 클러스터에서 OIDC Discovery는 선택 사항 입니다. 클러스터 자체는 공개일 필요가 없으며, OIDC 프로바이더만 공개이면 됩니다. tctl Kubernetes Operator Terraform A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(