PROXY 프로토콜로 Teleport 실행

Teleport에서 PROXY 프로토콜 사용을 안전하게 구성하는 방법.

이 가이드에서는 L4(레이어 4) 로드 밸런서 뒤에서 Teleport Auth Service와 Proxy Service를 실행하도록 구성하는 방법을 알아봅니다. 이 설정에서 Auth Service와 Proxy Service는 L4 로드 밸런서 뒤에 있을 때 클라이언트의 IP 주소를 가져오기 위해 PROXY 프로토콜에 의존합니다. 감사 로깅 및 IP 고정과 같은 기능이 신뢰할 수 있는 클라이언트 IP 정보에 의존하기 때문에 이는 보안 관점에서 중요합니다. PROXY 프로토콜이 올바르게 구성되지 않으면 이러한 기능이 손상됩니다. Note Teleport Enterprise(Cloud) 사용자는 PROXY 프로토콜 설정을 관리할 필요가 없습니다. Teleport 관리형 Auth Service 및 Proxy Service 배포는 PROXY 프로토콜이 구성된 L4 로드 밸런서 뒤에서 실행됩니다. 작동 방식 # PROXY 프로토콜은 클라이언트 IP에 대한 정보를 포함하는 접두사를 TCP 연결에 추가합니다. Teleport Auth Service 및 Proxy Service처럼 사용자와 엔드포인트 서비스 사이에 L4 로드 밸런서가 있는 네트워크에서 가장 일반적으로 사용됩니다. L4 로드 밸런서는 설계상 연결을 전달할 때 원래 클라이언트의 IP 주소와 포트를 유지하지 않으며, PROXY 프로토콜은 TCP 스트림 앞에 클라이언트의 원래 IP 주소와 포트를 추가하여 시스템이 이 문제를 극복할 수 있게 합니다. PROXYv1 프로토콜 헤더의 예: PROXY TCP4 127.0.0.1 127.0.0.2 12345 42\r\n 사전 요구 사항 # 자체 호스팅 Teleport Enterprise 계정. 자체 호스팅 Teleport Enterprise를 시작하려면 영업팀에 문의 하세요. Teleport Community Edition으로 데모 환경을 설정 할 수도 있습니다. PROXY 프로토콜을 사용하도록 Teleport 클러스터를 구성하기 전에 이 가이드를 완전히 읽고 이해하는 것을 권장합니다. tctl 관리 도구와 tsh 클라이언트 도구. tctl 과 tsh 다운로드 지침은 설치 를 방문하세요. 1/2단계. Teleport 배포 계획 # PROXY 프로토콜 동작의 잘못된 구성은 보안 문제로 이어질 수 있습니다. PROXY 프로토콜에는 내장된 인증이 없으므로 악의적인 공격자가 위조된 사용자 지정 PROXY 프로토콜 헤더를 보내 IP 주소를 스푸핑할 수 있습니다. 이를 방지하려면 네트워크 설정에 따라 PROXY 프로토콜 설정을 명시적으로 구성해야 합니다: PROXY 프로토콜을 활성화해야 하는 Auth Service 및 Proxy Service 인스턴스를 결정합니다. PROXY 프로토콜 동작은 Auth Service와 Proxy Service에 대해 별도로 제어됩니다. Proxy Service와 Auth Service 인스턴스 사이에 PROXY를 지원하는 L4 로드 밸런서가 있는 경우, Auth Service에서 PROXY 프로토콜을 활성화해야 합니다. 그렇지 않으