이 가이드에서는 Teleport Helm 차트를 사용하여 AWS EKS에서 실행되는 고가용성 Teleport 클러스터를 설정합니다.

작동 방식#

teleport-cluster Helm 차트는 Amazon Elastic Kubernetes Service 클러스터에 Teleport Auth Service 및 Teleport Proxy Service를 배포하며, 고가용성 Teleport 클러스터 배포에 설명된 아키텍처를 구현합니다. 이 차트에는 다음 리소스가 필요하며, 이 가이드에서 생성 방법을 보여줍니다:

• Teleport Auth Service의 IAM 권한. Auth Service는 백엔드에서 리소스를 관리하기 위한 권한이 필요합니다.
• TLS 자격 증명을 프로비저닝하는 시스템. Proxy Service가 HTTPS 서버를 실행하는 데 사용합니다. 이 가이드에서는 권장 접근 방식인 cert-manager를 사용하는 방법을 보여줍니다. 선택하는 방법에 따라 프로비저닝 시스템이 AWS API와 상호작용할 수 있도록 IAM 권한을 생성해야 할 수도 있습니다.
• Teleport Auth Service 백엔드를 위한 Amazon S3 버킷 및 DynamoDB 데이터베이스.

사전 요구사항#

cert-manager를 사용하여 TLS 자격 증명으로 Teleport Proxy Service를 프로비저닝하는 것을 권장하므로, 이 가이드를 시작하기 전에 문서를 읽어 cert-manager에 익숙해져야 합니다.

이 가이드는 인프라가 AWS GovCloud에 호스팅되어 있지 않고 에어갭 AWS 환경(EKS Anywhere)에 있지 않다고 가정합니다. 그런 경우라면 배포 계획 지원을 위해 Teleport 팀에 연락하세요.

이 가이드에는 다음도 필요합니다:

Kubernetes 네임스페이스와 Helm 릴리즈 이름 선택#

시작하기 전에 Kubernetes 네임스페이스와 Helm 릴리즈 이름을 여기에 설정하면 설치 명령어를 더 쉽게 복사/붙여넣기 할 수 있습니다.

무엇을 입력할지 모르는 경우 두 값 모두 teleport를 사용하세요.

네임스페이스:

릴리즈 이름:

1단계/7. Helm 설치#

2단계/7. Teleport Helm 차트 리포지토리 추가#

3단계/7. AWS IAM 구성 설정#

Teleport가 필요한 DynamoDB 테이블, 인덱스, S3 저장소 버킷을 관리할 수 있으려면 접근을 허용하는 AWS IAM 정책을 구성해야 합니다.

참고

AWS 계정에 이러한 IAM 정책을 추가한 다음 EKS 노드 그룹과 연결된 역할에 부여합니다.

DynamoDB IAM 정책#

S3 IAM 정책#

Route53 IAM 정책#

이 정책은 cert-manager가 Teleport 클러스터에 대한 TLS 인증서를 프로비저닝하기 위해 DNS01 Let's Encrypt 챌린지를 사용할 수 있도록 합니다.

정책 예시에서 다음 값을 바꿔야 합니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "route53:GetChange",
            "Resource": "arn:aws:route53:::change/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "route53:ChangeResourceRecordSets",
                "route53:ListResourceRecordSets"
            ],
            "Resource": "arn:aws:route53:::hostedzone/Z0159221358P96JYAUAA4"
        }
    ]
}

이 단계의 자세한 내용은 EKS Helm 가이드 원본 문서를 참조하세요.