Bound Keypair는 외부 검증을 사용할 수 없는 온프레미스 또는 기타 지원되지 않는 환경에서 위임 참여 방법(AWS, GCP 또는 Azure 참여 방법 등)의 최고 기능을 제공하도록 설계된 참여 방법입니다.

특히 이 참여 방법은:

• 전용 TPM 하드웨어나 외부 신원 증명이 필요하지 않습니다
• 장기 공유 비밀이 필요하지 않습니다
• 인증서가 만료되는 경우 제한적인 자동 복구를 허용합니다
• 다양한 사용 사례와 배포 시나리오를 수용하기 위해 복구 제한을 완화하거나 해제할 수 있습니다
• 대부분의 경우 클라이언트 측 개입 없이 실패한 봇을 복구할 수 있습니다

사용 사례#

Bound Keypair Joining은 모든 환경에서 사용할 수 있으며, 현재 사용되는 모든 상황에서 기존 token 참여 방법을 대체하는 드롭인 교체품으로 작동하도록 설계되었습니다. 여기에는 TPM을 사용할 수 없는 베어 메탈 및 온프레미스 하드웨어, 또는 위임 참여 방법이 현재 지원되지 않는 클라우드 공급자가 포함됩니다.

token 참여와 유사하게, Bound Keypair Joining은 최소한의 구성으로 봇을 초기 온보딩하기 위한 로컬 실험 및 테스트를 위한 좋은 대안이기도 합니다. 프로덕션 배포 준비가 완료되면 원하는 복원력과 보안 간의 균형을 선택하기 위해 온보딩 및 복구 설정을 조정하는 것이 간단합니다.

또한 정적 키를 사용하고 보안 복잡성을 수용할 수 있는 상황에서 Bound Keypair Joining은 플랫폼 키 저장소에 봇의 키 쌍을 저장함으로써 지원되지 않는 CI/CD 공급자에서 봇을 참여시키는 데 사용할 수 있습니다.

제한 사항#

Bound Keypair Joining이 여러 사용 사례를 가능하게 하거나 단순화하지만, 일부 경우에는 적합하지 않을 수 있는 제한 사항이 있습니다.

특히 보안 복구 모드는 일부 배포 제한을 도입합니다:

• 각 봇 배포에는 고유한 토큰이 발급되어야 합니다. 대규모 배포를 위해서는 각 배포에 대해 대량으로 토큰을 생성하기 위해 Teleport의 Terraform 프로바이더 사용을 권장합니다.
• 각 봇 배포는 클라이언트 측 상태를 저장할 수 있어야 합니다(참여 상태 검증에 사용됨).

이 제한 사항은 insecure 복구 모드를 사용하여 해결할 수 있지만, 그렇게 하면 참여 방법의 보안 보호 수준이 의미 있게 감소하므로 주의하여 사용해야 합니다.

다음 단계#

머신 및 워크로드 아이덴티티에서 Bound Keypair Joining을 사용하는 단계별 가이드를 읽을 수 있습니다:

• Bound Keypair Joining 사용: Bound Keypair Joining으로 머신 및 워크로드 아이덴티티를 설치하고 구성하는 방법
• Bound Keypair 정적 키 사용: 지원되지 않는 CI/CD 공급자와 같은 무상태 호스트에서 Bound Keypair 정적 키를 사용하는 방법
• Bound Keypair Joining 개념: Bound Keypair Joining의 구성 요소와 아키텍처에 대해 자세히 알아보기
• Bound Keypair Joining 관리자 가이드: Bound Keypair Joining으로 프로덕션에서 봇을 배포하고 유지 관리하는 방법 알아보기
• Bound Keypair 프로비전 토큰 참조: bound_keypair 토큰에 대해 구성할 수 있는 옵션에 대해 알아보기