Teleport 워크로드 아이덴티티를 구성하는 방법이 변경되고 있습니다. 현재 워크로드 아이덴티티를 사용 중이라면, 이전 구성에 대한 지원이 제거되는 V19.0.0 이전에 새로운 구성 경험으로 마이그레이션해야 합니다.

개요#

이전에는 발행하려는 자격 증명의 세부 정보(예: X509 SVID/JWT SVID)가 tbot 내에서 직접 정의되었습니다. 어떤 자격 증명을 발행할 수 있는지 제어하는 것은 역할 리소스의 spec.allow.spiffe 필드를 구성하여 수행되었습니다.

새로운 구성 경험은 새로운 리소스 유형인 WorkloadIdentity를 도입하며, 이를 통해 워크로드에 발행할 수 있는 신원 자격 증명의 구조와 그것을 발행할 수 있는 워크로드에 대한 규칙을 정의할 수 있습니다.

이는 이전 구성 경험에 비해 다음과 같은 이점을 제공합니다:

• 신원 자격 증명 구조의 중앙 집중식 제어로, tbot 구성이 단순화됩니다.
• Kubernetes 네임스페이스나 서비스 계정 이름과 같은 워크로드 속성을 기반으로 규칙을 지정하는 기능으로, 이전 구성보다 더 세분화됩니다.
• 단일 WorkloadIdentity 리소스가 여러 워크로드를 제공하는 데 사용될 수 있도록 신원 자격 증명의 요소를 동적으로 생성하는 템플릿 사용 기능.

새로운 WorkloadIdentity 리소스의 전체 세부 정보는 WorkloadIdentity 리소스 참조에서 읽을 수 있습니다.

tbot 마이그레이션#

다음 CLI 명령이 교체되었습니다:

• tbot start spiffe-svid는 이제 tbot start workload-identity-x509입니다.

다음의 새 추가 CLI 명령이 도입되었습니다:

• tbot start workload-identity-api: 워크로드 아이덴티티 API를 위한 리스너 시작.
• tbot start workload-identity-jwt: JWT SVID 발행.

새 CLI 명령에 대한 자세한 내용은 tbot CLI 참조에서 읽을 수 있습니다.

다음 서비스 유형이 교체되었습니다:

• spiffe-workload-api는 이제 workload-identity-api입니다.
• spiffe-x509-svid는 이제 workload-identity-x509입니다.

다음의 새 추가 서비스 유형이 도입되었습니다:

• workload-identity-jwt: JWT SVID 발행.

새 서비스 유형에 대한 자세한 내용은 tbot 구성 참조에서 읽을 수 있습니다.