tbot 참조
요약
이 가이드는 tbot의 명령어, 인수 및 플래그에 대한 종합적인 목록을 제공합니다. tbot은 머신 및 워크로드 아이덴티티와 함께 사용되는 CLI 도구로, 서비스 계정(예: CI/CD 서버)에 단기 인증서를 프로그래밍 방식으로 발급하고 갱신합니다.
이 가이드는 tbot의 명령어, 인수 및 플래그에 대한 종합적인 목록을 제공합니다.
tbot은 머신 및 워크로드 아이덴티티와 함께 사용되는 CLI 도구로, 서비스 계정(예: CI/CD 서버)에 단기 인증서를 프로그래밍 방식으로 발급하고 갱신합니다.
$ tbot [<flags>] <command> [<args> ...]
글로벌 플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-c, --config |
none | 구성 파일 경로. |
-d, --[no-]debug |
false |
stdout으로 상세 로깅. |
--log-format |
text |
출력 로그의 형식을 제어합니다. json 또는 text 가능. 기본값은 text. |
--[no-]fips |
false |
tbot을 FIPS 준수 모드로 실행합니다. FIPS 바이너리가 사용 중이어야 합니다. |
--[no-]insecure |
false |
첫 연결 시 검증 없이 Auth Server 또는 Proxy의 인증서를 신뢰하도록 bot을 구성합니다. 프로덕션 환경에서는 사용하지 마세요. |
글로벌 환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TBOT_CONFIG_PATH |
none | 구성 파일 경로. |
TBOT_DEBUG |
false |
stdout으로 상세 로깅. |
tbot configure application#
애플리케이션 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure application --destination=DESTINATION --app=APP [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--app |
none | Teleport에서 앱 이름 |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--[no-]specific-tls-extensions |
false |
설정 시 해당 파일 확장자가 필요한 앱을 위해 추가적인 tls.crt, tls.key, tls.cas를 포함합니다 |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure application-proxy#
애플리케이션 프록시로 tbot을 설정합니다.
사용법:
$ tbot configure application-proxy --listen=LISTEN [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--listen |
none | 소켓 URI (예: tcp://0.0.0.0:8080) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure application-tunnel#
애플리케이션 터널로 tbot을 설정합니다.
사용법:
$ tbot configure application-tunnel --listen=LISTEN --app=APP [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--app |
none | Teleport에서 앱 이름 |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--listen |
none | 소켓 URI (예: tcp://0.0.0.0:8080) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure database#
데이터베이스 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure database --destination=DESTINATION --service=SERVICE --username=USERNAME --database=DATABASE [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--database |
none | 요청한 데이터베이스 서비스에서 사용 가능한 데이터베이스 이름 |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--format |
`` | 필요한 경우 데이터베이스 출력 형식 |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--service |
none | 데이터베이스 서비스 이름 |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
--username |
none | 데이터베이스 사용자 이름 |
tbot configure database-tunnel#
데이터베이스 터널 리스너로 tbot을 설정합니다.
사용법:
$ tbot configure database-tunnel --listen=LISTEN --service=SERVICE --username=USERNAME --database=DATABASE [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--database |
none | 요청한 데이터베이스 서비스에서 사용 가능한 데이터베이스 이름 |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--listen |
none | 수신 대기할 소켓 URI (예: tcp://0.0.0.0:3306) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--service |
none | 데이터베이스 서비스 이름 |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
--username |
none | 데이터베이스 사용자 이름 |
tbot configure identity#
SSH 및 Teleport API 액세스를 위한 아이덴티티 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure identity --destination=DESTINATION [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--cluster |
none | 리프 클러스터 사용 시 아이덴티티를 발급할 특정 클러스터 이름 |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]allow-reissue |
false |
이 명령으로 출력된 자격 증명의 재발급을 허용합니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure kubernetes#
Kubernetes 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure kubernetes --destination=DESTINATION --kubernetes-cluster=KUBERNETES-CLUSTER [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--kubernetes-cluster |
none | 자격 증명을 가져올 Teleport의 Kubernetes 클러스터 이름 |
--[no-]disable-exec-plugin |
false |
설정 시 exec 플러그인을 비활성화합니다. 이를 통해 tbot 바이너리 없이 자격 증명을 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure kubernetes/v2#
Kubernetes V2 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure kubernetes/v2 --destination=DESTINATION [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--label-selector |
none | k1=v1,k2=v2 형식으로 일치시킬 Kubernetes 레이블 세트. 반복 가능합니다. |
--name-selector |
none | 포함할 명시적 Kubernetes 클러스터 이름. 반복 가능합니다. |
--[no-]disable-exec-plugin |
false |
설정 시 exec 플러그인을 비활성화합니다. 이를 통해 tbot 바이너리 없이 자격 증명을 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure legacy#
설정 파일 또는 레거시 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure legacy [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--data-dir |
none | 내부 봇 데이터를 저장할 디렉터리. 이 디렉터리에 대한 접근을 제한해야 합니다. |
--destination-dir |
none | 단기 머신 인증서를 쓸 디렉터리. |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure ssh-multiplexer#
SSH 멀티플렉서 서비스로 tbot을 설정합니다.
사용법:
$ tbot configure ssh-multiplexer --destination=DESTINATION [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]enable-resumption |
false |
설정 시 SSH 세션 재개를 비활성화합니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-command |
none | SSH ProxyCommand로 실행할 명령어 (예: fdpass-teleport). 기본값은 현재 tbot 바이너리입니다. 추가 인수를 추가하려면 반복할 수 있습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--proxy-templates-path |
none | 프록시 템플릿 설정 파일 경로. 선택 사항입니다. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure workload-identity-api#
워크로드 아이덴티티 API 리스너로 tbot을 설정합니다. SPIFFE Workload API 및 Envoy SDS와 호환됩니다.
사용법:
$ tbot configure workload-identity-api --listen=LISTEN [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--label-selector |
none | 발급할 워크로드 아이덴티티의 레이블 기반 선택자. ','를 사용하여 여러 레이블을 제공할 수 있습니다. |
--listen |
none | 워크로드 아이덴티티 API가 수신 대기할 주소. 'unix://' 또는 'tcp://'로 접두사를 붙여야 합니다. |
--name-selector |
none | 발급할 워크로드 아이덴티티 이름 |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure workload-identity-aws-roles-anywhere#
AWS Roles Anywhere를 통해 생성된 AWS 자격 증명을 포함하는 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure workload-identity-aws-roles-anywhere --destination=DESTINATION --role-arn=ROLE-ARN --profile-arn=PROFILE-ARN --trust-anchor-arn=TRUST-ANCHOR-ARN [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--label-selector |
none | 발급할 워크로드 아이덴티티의 레이블 기반 선택자. ','를 사용하여 여러 레이블을 제공할 수 있습니다. |
--name-selector |
none | 발급할 워크로드 아이덴티티 이름 |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--profile-arn |
none | 사용할 Roles Anywhere 프로필의 ARN. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--region |
none | 사용할 AWS 리전. 미설정 시 AWS 설정 또는 AWS_REGION 환경 변수에서 값을 사용합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--role-arn |
none | 위임할 역할의 ARN. |
--session-duration |
none | 결과 AWS 세션 및 자격 증명의 지속 시간. 최대 12시간까지 가능합니다. 미설정 시 기본값은 6시간입니다. |
--session-renewal-interval |
none | 세션을 갱신할 빈도. 세션 지속 시간보다 작아야 합니다. 미설정 시 기본값은 1시간입니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
--trust-anchor-arn |
none | 사용할 Roles Anywhere 트러스트 앵커의 ARN. |
tbot configure workload-identity-jwt#
SPIFFE 호환 JWT SVID 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure workload-identity-jwt --destination=DESTINATION --audience=AUDIENCE [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--audience |
none | JWT에 포함할 대상(audience)을 지정합니다. 하나 이상의 대상을 지정해야 합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--label-selector |
none | 발급할 워크로드 아이덴티티의 레이블 기반 선택자. ','를 사용하여 여러 레이블을 제공할 수 있습니다. |
--name-selector |
none | 발급할 워크로드 아이덴티티 이름 |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot configure workload-identity-x509#
SPIFFE 호환 SVID 출력으로 tbot을 설정합니다.
사용법:
$ tbot configure workload-identity-x509 --destination=DESTINATION [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--label-selector |
none | 발급할 워크로드 아이덴티티의 레이블 기반 선택자. ','를 사용하여 여러 레이블을 제공할 수 있습니다. |
--name-selector |
none | 발급할 워크로드 아이덴티티 이름 |
--[no-]include-federated-trust-bundles |
false |
설정 시 페더레이션된 트러스트 번들을 출력에 포함합니다 |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot copy-binaries#
이 tbot 바이너리를 주어진 목적지에 복사합니다.
사용법:
$ tbot copy-binaries [<flags>] <destination-dir>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]include-fdpass |
false |
설정 시 fdpass-teleport도 복사합니다. tbot과 동일한 경로에 있어야 합니다. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| destination-dir | none (required) | tbot 바이너리 복사본을 쓸 목적지 경로 |
tbot db#
tsh를 통해 데이터베이스 명령을 실행합니다.
사용법:
$ tbot db [<flags>] [<args>...]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--cluster |
none | 클러스터 이름. 미설정 시 인증서에서 추출합니다. |
--destination-dir |
none | tsh 인증에 사용할 목적지 디렉터리 |
--proxy-server |
none | 사용할 Teleport 프록시 서버 (host:port 형식). |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| args | none (optional) | tsh db ...에 전달할 인수; 플래그가 올바르게 전달되도록 -- 접두사를 붙이세요. |
tbot help#
도움말을 표시합니다.
사용법:
$ tbot help [<command>...]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| command | none (optional) | 명령어에 대한 도움말을 표시합니다. |
tbot init#
별도의 봇 사용자로부터 쓰기를 위한 인증서 목적지 디렉터리를 초기화합니다.
사용법:
$ tbot init [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--bot-user |
none | POSIX ACL을 활성화하고 "--destination-dir"에 단기 인증서를 읽고 쓸 수 있는 Linux 사용자를 정의합니다. |
--destination-dir |
none | 단기 머신 인증서를 쓸 디렉터리. |
--init-dir |
none | 설정 파일 사용 시 여러 목적지가 설정된 경우 설정할 목적지 디렉터리를 제어합니다. |
--[no-]clean |
false |
설정 시 목적지에서 예상치 못한 파일과 디렉터리를 제거합니다. |
--owner |
none | "--destination-dir"의 Linux "user:group" 소유자를 정의합니다. 미지정 시 tbot을 실행하는 Linux 사용자로 기본 설정됩니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-user |
none | POSIX ACL을 활성화하고 "--destination-dir"에서 단기 인증서를 읽을 Linux 사용자를 정의합니다. |
tbot install systemd#
지정된 tbot 설정 파일에 대한 systemd 유닛 파일을 생성하고 설치합니다.
사용법:
$ tbot install systemd [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--group |
teleport |
서비스가 실행될 그룹. 기본값은 'teleport'입니다. |
--name |
tbot |
systemd 유닛 이름. 기본값은 'tbot'입니다. |
--[no-]anonymous-telemetry |
false |
익명 텔레메트리를 활성화합니다. |
--[no-]force |
false |
기존 systemd 유닛 파일이 있는 경우 덮어씁니다. |
--[no-]write |
false |
systemd 유닛 파일을 씁니다. 지정하지 않으면 생성된 내용을 stdout에 출력하는 드라이런 모드로 실행됩니다. |
--systemd-directory |
/etc/systemd/system |
systemd 유닛 파일을 쓸 디렉터리 경로. 기본값은 '/etc/systemd/system'입니다. |
--user |
teleport |
서비스가 실행될 사용자. 기본값은 'teleport'입니다. |
tbot migrate#
설정 파일을 이전 버전에서 최신 버전으로 마이그레이션합니다. 기본적으로 stdout으로 출력합니다.
사용법:
$ tbot migrate [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-o, --output |
none | stdout에 쓰지 않고 생성된 설정 파일을 쓸 경로. |
tbot proxy#
tsh를 통해 로컬 TLS 프록시를 시작하여 단일 포트 모드로 Teleport에 연결합니다.
사용법:
$ tbot proxy [<flags>] [<args>...]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_PROXY |
none | 사용할 Teleport 프록시 서버 (host:port 형식). |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--cluster |
none | 클러스터 이름. 미설정 시 인증서에서 추출합니다. |
--destination-dir |
none | tsh 인증에 사용할 목적지 디렉터리 |
--proxy-server |
none | 사용할 Teleport 프록시 서버 (host:port 형식). |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| args | none (optional) | tsh proxy ...에 전달할 인수; 플래그가 올바르게 전달되도록 -- 접두사를 붙이세요. |
tbot spiffe-inspect#
SPIFFE Workload API 엔드포인트가 올바르게 작동하는지 검사합니다.
사용법:
$ tbot spiffe-inspect --path=PATH
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--path |
none | 테스트할 SPIFFE Workload API 엔드포인트 경로. |
tbot start application#
애플리케이션 출력으로 tbot을 시작합니다.
사용법:
$ tbot start application --destination=DESTINATION --app=APP [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--app |
none | Teleport에서 앱 이름 |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--[no-]specific-tls-extensions |
false |
설정 시 해당 파일 확장자가 필요한 앱을 위해 추가적인 tls.crt, tls.key, tls.cas를 포함합니다 |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot start application-proxy#
애플리케이션 프록시로 tbot을 시작합니다.
사용법:
$ tbot start application-proxy --listen=LISTEN [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--listen |
none | 소켓 URI (예: tcp://0.0.0.0:8080) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot start application-tunnel#
애플리케이션 터널로 tbot을 시작합니다.
사용법:
$ tbot start application-tunnel --listen=LISTEN --app=APP [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--app |
none | Teleport에서 앱 이름 |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--listen |
none | 소켓 URI (예: tcp://0.0.0.0:8080) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot start database#
데이터베이스 출력으로 tbot을 시작합니다.
사용법:
$ tbot start database --destination=DESTINATION --service=SERVICE --username=USERNAME --database=DATABASE [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--database |
none | 요청한 데이터베이스 서비스에서 사용 가능한 데이터베이스 이름 |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--format |
`` | 필요한 경우 데이터베이스 출력 형식 |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--service |
none | 데이터베이스 서비스 이름 |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
--username |
none | 데이터베이스 사용자 이름 |
tbot start database-tunnel#
데이터베이스 터널 리스너로 tbot을 시작합니다.
사용법:
$ tbot start database-tunnel --listen=LISTEN --service=SERVICE --username=USERNAME --database=DATABASE [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--database |
none | 요청한 데이터베이스 서비스에서 사용 가능한 데이터베이스 이름 |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--listen |
none | 수신 대기할 소켓 URI (예: tcp://0.0.0.0:3306) |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--service |
none | 데이터베이스 서비스 이름 |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
--username |
none | 데이터베이스 사용자 이름 |
tbot start identity#
SSH 및 Teleport API 액세스를 위한 아이덴티티 출력으로 tbot을 시작합니다.
사용법:
$ tbot start identity --destination=DESTINATION [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--cluster |
none | 리프 클러스터 사용 시 아이덴티티를 발급할 특정 클러스터 이름 |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--[no-]allow-reissue |
false |
이 명령으로 출력된 자격 증명의 재발급을 허용합니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot start kubernetes#
Kubernetes 출력으로 tbot을 시작합니다.
사용법:
$ tbot start kubernetes --destination=DESTINATION --kubernetes-cluster=KUBERNETES-CLUSTER [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--kubernetes-cluster |
none | 자격 증명을 가져올 Teleport의 Kubernetes 클러스터 이름 |
--[no-]disable-exec-plugin |
false |
설정 시 exec 플러그인을 비활성화합니다. 이를 통해 tbot 바이너리 없이 자격 증명을 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot start kubernetes/v2#
Kubernetes V2 출력으로 tbot을 시작합니다.
사용법:
$ tbot start kubernetes/v2 --destination=DESTINATION [<flags>]
환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
TELEPORT_BOT_TOKEN |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
TELEPORT_PROXY |
none | Teleport Proxy Server 주소. |
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --auth-server |
none | Teleport Auth Server 주소. 가능하면 --proxy-server 사용을 권장합니다. |
--ca-pin |
none | Teleport Auth Server 검증을 위한 CA 핀; 최초 연결 시 사용됩니다. |
--certificate-ttl |
none | 단기 머신 인증서의 TTL. |
--destination |
none | 목적지 URI (예: file:///foo/bar) |
--diag-addr |
none | 설정 시 bot이 디버그 모드인 경우 지정된 주소에서 진단 서비스가 수신 대기합니다. |
--join-method |
none | 클러스터에 조인할 방법. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | 조인 및 인증 매개변수가 포함된 선택적 URI. 대신 proxy, join method, token 등의 개별 플래그를 사용할 수 있습니다. |
--label-selector |
none | k1=v1,k2=v2 형식으로 일치시킬 Kubernetes 레이블 세트. 반복 가능합니다. |
--name-selector |
none | 포함할 명시적 Kubernetes 클러스터 이름. 반복 가능합니다. |
--[no-]disable-exec-plugin |
false |
설정 시 exec 플러그인을 비활성화합니다. 이를 통해 tbot 바이너리 없이 자격 증명을 사용할 수 있습니다. |
--[no-]oneshot |
false |
설정 시 첫 번째 갱신 후 종료합니다. |
--pid-file |
none | PID 파일의 전체 경로. 기본적으로 PID 파일이 생성되지 않습니다. |
--proxy-server |
none | Teleport Proxy Server 주소. |
--reader-group |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 그룹 이름 또는 GID. Linux의 파일 목적지에만 유효합니다. |
--reader-user |
none | ACL로 이 목적지를 읽을 수 있어야 하는 추가 사용자 이름 또는 UID. Linux의 파일 목적지에만 유효합니다. |
--registration-secret |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿을 지정합니다. |
--registration-secret-path |
none | bound keypair 조인 시 최초 조인에 사용할 등록 시크릿이 포함된 파일을 지정합니다. |
--renewal-interval |
none | 단기 인증서 갱신 간격; 인증서 TTL보다 작아야 합니다. |
--static-key-path |
none | bound keypair 조인 시 정적 키 경로를 지정합니다. |
--storage |
none | tbot 내부 스토리지의 목적지 URI (예: file:///foo/bar) |
--token |
none | 새 봇 온보딩 시도 시 봇 조인 토큰 또는 토큰 값이 담긴 파일 경로; 최초 연결 시 사용됩니다. |
tbot start legacy#
Starts tbot with either a config file or a legacy output.
Usage:
$ tbot start legacy [<flags>]
Environment variables:
| Variable | Default | Description |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
TELEPORT_BOT_TOKEN |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
TELEPORT_PROXY |
none | Address of the Teleport Proxy Server. |
Flags:
| Flag | Default | Description |
|---|---|---|
-a, --auth-server |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
--ca-pin |
none | CA pin to validate the Teleport Auth Server; used on first connect. |
--certificate-ttl |
none | TTL of short-lived machine certificates. |
--data-dir |
none | Directory to store internal bot data. Access to this directory should be limited. |
--destination-dir |
none | Directory to write short-lived machine certificates. |
--diag-addr |
none | If set and the bot is in debug mode, a diagnostics service will listen on specified address. |
--join-method |
none | Method to use to join the cluster. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--[no-]oneshot |
false |
If set, quit after the first renewal. |
--pid-file |
none | Full path to the PID file. By default no PID file will be created. |
--proxy-server |
none | Address of the Teleport Proxy Server. |
--renewal-interval |
none | Interval at which short-lived certificates are renewed; must be less than the certificate TTL. |
--token |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
tbot start ssh-multiplexer#
Starts tbot with an SSH Multiplexer service.
Usage:
$ tbot start ssh-multiplexer --destination=DESTINATION [<flags>]
Environment variables:
| Variable | Default | Description |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
TELEPORT_BOT_TOKEN |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
TELEPORT_PROXY |
none | Address of the Teleport Proxy Server. |
Flags:
| Flag | Default | Description |
|---|---|---|
-a, --auth-server |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
--ca-pin |
none | CA pin to validate the Teleport Auth Server; used on first connect. |
--certificate-ttl |
none | TTL of short-lived machine certificates. |
--destination |
none | A destination URI, such as file:///foo/bar |
--diag-addr |
none | If set and the bot is in debug mode, a diagnostics service will listen on specified address. |
--join-method |
none | Method to use to join the cluster. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | An optional URI with joining and authentication parameters. Individual flags for proxy, join method, token, etc may be used instead. |
--[no-]enable-resumption |
false |
If set, disables SSH session resumption. |
--[no-]oneshot |
false |
If set, quit after the first renewal. |
--pid-file |
none | Full path to the PID file. By default no PID file will be created. |
--proxy-command |
none | The command to run as the SSH ProxyCommand, such as fdpass-teleport. Defaults to this tbot binary. Repeatable to add additional args. |
--proxy-server |
none | Address of the Teleport Proxy Server. |
--proxy-templates-path |
none | A path to a proxy template config file. Optional. |
--reader-group |
none | An additional group name or GID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--reader-user |
none | An additional user name or UID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--registration-secret |
none | For bound keypair joining, specifies a registration secret for use at first join. |
--registration-secret-path |
none | For bound keypair joining, specifies a file containing a registration secret for use at first join. |
--renewal-interval |
none | Interval at which short-lived certificates are renewed; must be less than the certificate TTL. |
--static-key-path |
none | For bound keypair joining, specifies a path to a static key. |
--storage |
none | A destination URI for tbot's internal storage, e.g. file:///foo/bar |
--token |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
tbot start workload-identity-api#
Starts tbot with a workload identity API listener. Compatible with the SPIFFE Workload API and Envoy SDS.
Usage:
$ tbot start workload-identity-api --listen=LISTEN [<flags>]
Environment variables:
| Variable | Default | Description |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
TELEPORT_BOT_TOKEN |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
TELEPORT_PROXY |
none | Address of the Teleport Proxy Server. |
Flags:
| Flag | Default | Description |
|---|---|---|
-a, --auth-server |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
--ca-pin |
none | CA pin to validate the Teleport Auth Server; used on first connect. |
--certificate-ttl |
none | TTL of short-lived machine certificates. |
--diag-addr |
none | If set and the bot is in debug mode, a diagnostics service will listen on specified address. |
--join-method |
none | Method to use to join the cluster. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | An optional URI with joining and authentication parameters. Individual flags for proxy, join method, token, etc may be used instead. |
--label-selector |
none | A label-based selector for which workload identities to issue. Multiple labels can be provided using ','. |
--listen |
none | The address on which the workload identity API should listen. This should either be prefixed with 'unix://' or 'tcp://'. |
--name-selector |
none | The name of the workload identity to issue |
--[no-]oneshot |
false |
If set, quit after the first renewal. |
--pid-file |
none | Full path to the PID file. By default no PID file will be created. |
--proxy-server |
none | Address of the Teleport Proxy Server. |
--registration-secret |
none | For bound keypair joining, specifies a registration secret for use at first join. |
--registration-secret-path |
none | For bound keypair joining, specifies a file containing a registration secret for use at first join. |
--renewal-interval |
none | Interval at which short-lived certificates are renewed; must be less than the certificate TTL. |
--static-key-path |
none | For bound keypair joining, specifies a path to a static key. |
--storage |
none | A destination URI for tbot's internal storage, e.g. file:///foo/bar |
--token |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
tbot start workload-identity-aws-roles-anywhere#
Starts tbot with an output containing AWS credentials generated via AWS Roles Anywhere.
Usage:
$ tbot start workload-identity-aws-roles-anywhere --destination=DESTINATION --role-arn=ROLE-ARN --profile-arn=PROFILE-ARN --trust-anchor-arn=TRUST-ANCHOR-ARN [<flags>]
Environment variables:
| Variable | Default | Description |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
TELEPORT_BOT_TOKEN |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
TELEPORT_PROXY |
none | Address of the Teleport Proxy Server. |
Flags:
| Flag | Default | Description |
|---|---|---|
-a, --auth-server |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
--ca-pin |
none | CA pin to validate the Teleport Auth Server; used on first connect. |
--certificate-ttl |
none | TTL of short-lived machine certificates. |
--destination |
none | A destination URI, such as file:///foo/bar |
--diag-addr |
none | If set and the bot is in debug mode, a diagnostics service will listen on specified address. |
--join-method |
none | Method to use to join the cluster. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | An optional URI with joining and authentication parameters. Individual flags for proxy, join method, token, etc may be used instead. |
--label-selector |
none | A label-based selector for which workload identities to issue. Multiple labels can be provided using ','. |
--name-selector |
none | The name of the workload identity to issue |
--[no-]oneshot |
false |
If set, quit after the first renewal. |
--pid-file |
none | Full path to the PID file. By default no PID file will be created. |
--profile-arn |
none | The ARN of the Roles Anywhere profile to use. |
--proxy-server |
none | Address of the Teleport Proxy Server. |
--reader-group |
none | An additional group name or GID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--reader-user |
none | An additional user name or UID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--region |
none | The AWS region to use. If unset, value will be used from the AWS config or the AWS_REGION environment variable. |
--registration-secret |
none | For bound keypair joining, specifies a registration secret for use at first join. |
--registration-secret-path |
none | For bound keypair joining, specifies a file containing a registration secret for use at first join. |
--renewal-interval |
none | Interval at which short-lived certificates are renewed; must be less than the certificate TTL. |
--role-arn |
none | The ARN of the role to assume. |
--session-duration |
none | The duration of the resulting AWS session and credentials. This may be up to 12 hours. When unset, this defaults to 6 hours. |
--session-renewal-interval |
none | How often the session should be renewed. This should be less than the session duration. When unset, this defaults to 1 hour. |
--static-key-path |
none | For bound keypair joining, specifies a path to a static key. |
--storage |
none | A destination URI for tbot's internal storage, e.g. file:///foo/bar |
--token |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
--trust-anchor-arn |
none | The ARN of the Roles Anywhere trust anchor to use. |
tbot start workload-identity-jwt#
Starts tbot with a SPIFFE-compatible JWT SVID output.
Usage:
$ tbot start workload-identity-jwt --destination=DESTINATION --audience=AUDIENCE [<flags>]
Environment variables:
| Variable | Default | Description |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
TELEPORT_BOT_TOKEN |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
TELEPORT_PROXY |
none | Address of the Teleport Proxy Server. |
Flags:
| Flag | Default | Description |
|---|---|---|
-a, --auth-server |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
--audience |
none | Specify the audiences to include in the JWT. At least one audience must be specified. |
--ca-pin |
none | CA pin to validate the Teleport Auth Server; used on first connect. |
--certificate-ttl |
none | TTL of short-lived machine certificates. |
--destination |
none | A destination URI, such as file:///foo/bar |
--diag-addr |
none | If set and the bot is in debug mode, a diagnostics service will listen on specified address. |
--join-method |
none | Method to use to join the cluster. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | An optional URI with joining and authentication parameters. Individual flags for proxy, join method, token, etc may be used instead. |
--label-selector |
none | A label-based selector for which workload identities to issue. Multiple labels can be provided using ','. |
--name-selector |
none | The name of the workload identity to issue |
--[no-]oneshot |
false |
If set, quit after the first renewal. |
--pid-file |
none | Full path to the PID file. By default no PID file will be created. |
--proxy-server |
none | Address of the Teleport Proxy Server. |
--reader-group |
none | An additional group name or GID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--reader-user |
none | An additional user name or UID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--registration-secret |
none | For bound keypair joining, specifies a registration secret for use at first join. |
--registration-secret-path |
none | For bound keypair joining, specifies a file containing a registration secret for use at first join. |
--renewal-interval |
none | Interval at which short-lived certificates are renewed; must be less than the certificate TTL. |
--static-key-path |
none | For bound keypair joining, specifies a path to a static key. |
--storage |
none | A destination URI for tbot's internal storage, e.g. file:///foo/bar |
--token |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
tbot start workload-identity-x509#
Starts tbot with a SPIFFE-compatible SVID output.
Usage:
$ tbot start workload-identity-x509 --destination=DESTINATION [<flags>]
Environment variables:
| Variable | Default | Description |
|---|---|---|
TELEPORT_AUTH_SERVER |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
TELEPORT_BOT_TOKEN |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
TELEPORT_PROXY |
none | Address of the Teleport Proxy Server. |
Flags:
| Flag | Default | Description |
|---|---|---|
-a, --auth-server |
none | Address of the Teleport Auth Server. Prefer using --proxy-server where possible. |
--ca-pin |
none | CA pin to validate the Teleport Auth Server; used on first connect. |
--certificate-ttl |
none | TTL of short-lived machine certificates. |
--destination |
none | A destination URI, such as file:///foo/bar |
--diag-addr |
none | If set and the bot is in debug mode, a diagnostics service will listen on specified address. |
--join-method |
none | Method to use to join the cluster. (azure, azure_devops, bitbucket, circleci, gcp, github, gitlab, iam, kubernetes, spacelift, token, tpm, terraform_cloud, oracle, bound_keypair, env0) |
--join-uri |
none | An optional URI with joining and authentication parameters. Individual flags for proxy, join method, token, etc may be used instead. |
--label-selector |
none | A label-based selector for which workload identities to issue. Multiple labels can be provided using ','. |
--name-selector |
none | The name of the workload identity to issue |
--[no-]include-federated-trust-bundles |
false |
If set, include federated trust bundles in the output |
--[no-]oneshot |
false |
If set, quit after the first renewal. |
--pid-file |
none | Full path to the PID file. By default no PID file will be created. |
--proxy-server |
none | Address of the Teleport Proxy Server. |
--reader-group |
none | An additional group name or GID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--reader-user |
none | An additional user name or UID that should be allowed by ACLs to read this destination. Only valid for file destinations on Linux. |
--registration-secret |
none | For bound keypair joining, specifies a registration secret for use at first join. |
--registration-secret-path |
none | For bound keypair joining, specifies a file containing a registration secret for use at first join. |
--renewal-interval |
none | Interval at which short-lived certificates are renewed; must be less than the certificate TTL. |
--static-key-path |
none | For bound keypair joining, specifies a path to a static key. |
--storage |
none | A destination URI for tbot's internal storage, e.g. file:///foo/bar |
--token |
none | A bot join token or path to file with token value, if attempting to onboard a new bot; used on first connect. |
tbot tpm identify#
Output identifying information related to the TPM detected on the system.
Usage:
$ tbot tpm identify
tbot version#
Print the version of your tbot binary.
Usage:
$ tbot version
tbot wait#
Waits for a running tbot to become ready.
Usage:
$ tbot wait --diag-addr=DIAG-ADDR [<flags>]
Flags:
| Flag | Default | Description |
|---|---|---|
--diag-addr |
none | The configured --diag-addr of a running bot, in host:port form. |
--service |
none | An optional name. If set, waits for only the named service to become healthy. If unset, waits for all services. |
--timeout |
none | An optional timeout. If set, returns an error if all specified services have reported healthy by the timeout. |