Kubernetes에 Teleport 배포

요약

Teleport는 Kubernetes 클러스터에 대한 안전한 통합 접근을 제공할 수 있습니다. 이 가이드를 완료하는 동안 Kubernetes 클러스터에서 Auth Service와 Proxy Service에 대해 각각 하나의 Teleport 파드를 배포하고, 외부 트래픽을 Teleport 클러스터로 전달하는 로드 밸런서를 배포합니다.

Teleport는 Kubernetes 클러스터에 대한 안전한 통합 접근을 제공할 수 있습니다. 이 가이드는 Helm을 사용하여 Kubernetes 클러스터에 Teleport를 배포하는 방법을 보여줍니다.

작동 방식#

이 가이드를 완료하는 동안 Kubernetes 클러스터에서 Auth Service와 Proxy Service에 대해 각각 하나의 Teleport 파드를 배포하고, 외부 트래픽을 Teleport 클러스터로 전달하는 로드 밸런서를 배포합니다. 그러면 사용자가 클러스터 내에서 실행 중인 Teleport 클러스터를 통해 Kubernetes 클러스터에 접근할 수 있습니다.

이미 다른 플랫폼에서 Teleport Auth Service 및 Proxy Service를 실행 중인 경우, 기존 Teleport 배포를 사용하여 Kubernetes 클러스터에 접근할 수 있습니다. 가이드를 따라 Kubernetes 클러스터를 Teleport에 연결하세요.

사전 요구사항#

등록된 도메인 이름. Teleport가 Let's Encrypt를 통해 TLS를 설정하고 Teleport 클라이언트가 Proxy Service 호스트를 확인하는 데 필요합니다.
클라우드 제공자가 호스팅하는 Kubernetes 클러스터. 이 가이드에서 배포하는 로드 밸런서에 필요합니다. 처음에는 비프로덕션 클러스터에서 이 가이드를 따르는 것을 권장합니다.
Auth Service가 클러스터 상태를 저장하는 데 사용할 수 있는 영구 볼륨. Kubernetes 클러스터에 사용 가능한 것이 있는지 확인합니다:
```
$ kubectl get pv
```
사용 가능한 영구 볼륨이 없는 경우 하나를 제공하거나 클러스터에 대해 동적 볼륨 프로비저닝을 활성화해야 합니다. 예를 들어 Amazon Elastic Kubernetes Service에서는 Elastic Block Store Container Storage Interface 드라이버 애드온을 구성할 수 있습니다.

동적 볼륨 프로비저닝이 활성화되어 있는지 확인하려면 기본 StorageClass의 존재 여부를 확인합니다:
```
$ kubectl get storageclasses
```
eksctl로 새 EKS 클러스터를 실행하는 경우?

이 가이드를 따르기 위해 eksctl을 사용하여 새 Amazon Elastic Kubernetes Service 클러스터를 실행하는 경우 다음 예시 구성은 EBS CSI 드라이버 애드온을 설정합니다.

위험

아래 예시 구성은 eksctl 작동 방식에 익숙하고, 프로덕션에서 EKS 클러스터를 사용하지 않으며, 자신의 책임 하에 진행한다는 것을 이해하고 있다고 가정합니다.

필요에 따라 클러스터 이름, 버전, 노드 그룹 크기 및 리전을 업데이트합니다:
```
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig
metadata:
  name: my-cluster
  region: us-east-1
  version: "1.32"

iam:
  withOIDC: true

addons:
- name: aws-ebs-csi-driver
  version: v1.39.0-eksbuild.1
  attachPolicyARNs:
  - arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy

managedNodeGroups:
  - name: managed-ng-2
    instanceType: t3.medium
    minSize: 2
    maxSize: 3
```
워크스테이션에 설치된 tsh 클라이언트 도구. 설치 페이지에서 다운로드할 수 있습니다.

경고

이 가이드는 가장 광범위한 권한 세트로 Kubernetes 접근을 설정하는 방법을 보여줍니다. 이는 개인 데모 클러스터에 적합하지만 프로덕션 사용을 위한 Kubernetes RBAC를 설정하려면 시작하기 전에 Teleport Kubernetes RBAC 가이드를 숙지하는 것을 권장합니다.

1단계/2. Teleport 설치#

Kubernetes에 Teleport 클러스터를 배포하려면 다음을 수행해야 합니다:

Kubernetes 클러스터에 Teleport Auth Service와 Proxy Service를 배포하는 teleport-cluster Helm 차트를 설치합니다.
클러스터가 실행되면 클라이언트가 클러스터에 접근하는 데 사용할 수 있는 DNS 레코드를 생성합니다.

`teleport-cluster` Helm 차트 설치#

Kubernetes 클러스터에 Teleport Auth Service와 Proxy Service를 배포하려면 아래 지침에 따라 teleport-cluster Helm 차트를 설치합니다.

Teleport Helm 차트 리포지토리를 추가합니다.

Teleport에 대한 네임스페이스를 생성하고 네임스페이스의 파드에 보안 표준을 적용하는 Pod Security Admission을 구성합니다:

$ kubectl create namespace teleport-cluster
namespace/teleport-cluster created

$ kubectl label namespace teleport-cluster 'pod-security.kubernetes.io/enforce=baseline'
namespace/teleport-cluster labeled

타이핑을 줄이기 위해 kubectl 컨텍스트를 네임스페이스로 설정합니다:
```
$ kubectl config set-context --current --namespace=teleport-cluster
```
을 도메인 이름의 서브도메인(예: teleport.example.com)으로 할당합니다.
을 TLS 자격 증명을 제공하는 Let's Encrypt에서 알림을 받을 이메일 주소로 할당합니다.
Helm values 파일을 생성합니다:

Open Source:

단일 노드 Teleport 클러스터를 구성하고 ACME를 사용하여 인증서를 프로비저닝하는 values 파일(teleport-cluster-values.yaml)을 작성합니다.
```
$ cat << EOF > teleport-cluster-values.yaml
clusterName: 
proxyListenerMode: multiplex
acme: true
acmeEmail: 
EOF
```
Enterprise:

라이선스를 획득하고 터미널의 작업 디렉터리 경로 license.pem에 저장합니다.

라이선스 파일을 사용하여 teleport-cluster 네임스페이스에 "license"라는 시크릿을 생성합니다:
```
$ kubectl create secret generic license --from-file=license.pem
secret/license created
```
단일 노드 Teleport 클러스터를 구성하고 ACME를 사용하여 인증서를 프로비저닝하는 values 파일(teleport-cluster-values.yaml)을 작성합니다.
```
$ cat << EOF > teleport-cluster-values.yaml
clusterName: 
proxyListenerMode: multiplex
acme: true
acmeEmail: 
enterprise: true
EOF
```

생성한 values 파일을 사용하여 teleport-cluster Helm 차트를 설치합니다:

$ helm install teleport-cluster teleport/teleport-cluster \
  --version (=teleport.version=) \
  --values teleport-cluster-values.yaml

teleport-cluster 차트를 설치한 후 잠시 기다리고 Auth Service와 Proxy Service 파드가 모두 실행 중인지 확인합니다:

$ kubectl get pods
NAME                                      READY   STATUS    RESTARTS   AGE
teleport-cluster-auth-000000000-00000     1/1     Running   0          114s
teleport-cluster-proxy-0000000000-00000   1/1     Running   0          114s

DNS 레코드 설정#

이 섹션에서는 Proxy Service 주소를 가리키는 DNS 레코드를 생성하여 사용자와 서비스가 클러스터에 연결할 수 있도록 합니다.

2단계/2. 로컬 사용자 생성#

Teleport 사용자가 SSO 제공자를 통해 인증하는 것을 권장하지만, 로컬 사용자는 SSO 제공자가 다운된 경우를 위한 신뢰할 수 있는 폴백입니다.

이 섹션에서는 member Teleport 역할을 통해 Kubernetes 그룹 system:masters에 접근할 수 있는 로컬 사용자를 생성합니다. 이 사용자는 관리 권한을 위한 내장 access 및 editor 역할도 있습니다.

다음 역할 사양을 member.yaml 파일에 붙여넣습니다.

역할을 생성합니다:

$ kubectl exec -i deployment/teleport-cluster-auth -- tctl create -f < member.yaml
role 'member' has been created

사용자를 생성하고 초대 링크를 생성합니다. 를 생성하려는 로컬 Teleport 사용자 이름으로 교체합니다:

$ kubectl exec -ti deployment/teleport-cluster-auth -- tctl users add  --roles=member,access,editor
User "myuser" has been created but requires a password. Share this URL with the user to
complete user setup, link is valid for 1h:

https://tele.example.com:443/web/invite/(=presets.tokens.first=)

NOTE: Make sure tele.example.com:443 points at a Teleport proxy which users can access.

초대 링크를 방문하고 웹 UI의 지침에 따라 사용자를 활성화합니다.
로컬 사용자로 tsh login을 시도합니다:
```
$ tsh login --proxy=:443 --user=
```
Teleport 클러스터에 연결되면 사용자에 대해 사용 가능한 Kubernetes 클러스터를 나열합니다:
```
$ tsh kube ls
Kube Cluster Name Selected
----------------- --------
tele.example.com
```

Kubernetes 클러스터에 로그인합니다. tsh 클라이언트 도구는 로컬 kubeconfig를 Teleport 클러스터를 가리키도록 업데이트하므로 설치 과정 중 KUBECONFIG를 임시 값으로 할당합니다. 이렇게 하면 문제가 발생할 경우 원래 kubeconfig로 쉽게 되돌릴 수 있습니다:

$ KUBECONFIG=$HOME/teleport-kubeconfig.yaml tsh kube login 

$ KUBECONFIG=$HOME/teleport-kubeconfig.yaml kubectl get -n teleport-cluster pods
NAME                                      READY   STATUS    RESTARTS   AGE
teleport-cluster-auth-000000000-00000     1/1     Running   0          26m
teleport-cluster-proxy-0000000000-00000   1/1     Running   0          26m

문제 해결#

Teleport 클러스터에 연결하는 데 오류가 발생하는 경우 Auth Service 및 Proxy Service 파드의 상태를 확인합니다. 성공적인 상태는 아래와 같이 두 파드가 실행 중인 것을 보여야 합니다:

$ kubectl get pods -n teleport-cluster
NAME                                      READY   STATUS    RESTARTS   AGE
teleport-cluster-auth-5f8587bfd4-p5zv6    1/1     Running   0          48s
teleport-cluster-proxy-767747dd94-vkxz6   1/1     Running   0          48s

파드의 상태가 Pending인 경우 해당 파드에 대해 kubectl logs 및 kubectl describe 명령을 사용하여 상태를 확인합니다. Auth Service 파드는 영구 볼륨 클레임을 할당할 수 있어야 하며, 영구 볼륨이 없는 경우 Pending 상태에 들어갈 수 있습니다.

kubectl get events --sort-by='.metadata.creationTimestamp' -A의 출력도 Kubernetes 클러스터 내에서 발생하는 가장 최근 이벤트를 표시하여 유용할 수 있습니다.

다음 단계#

Single Sign-On 설정: 이 가이드에서는 데모 환경에 적합한 로컬 사용자를 생성하는 방법을 보여주었습니다. 프로덕션 배포의 경우 선택한 제공자로 Single Sign-On을 설정해야 합니다. 방법은 Single Sign-On 가이드를 참조하세요.
Teleport 배포 구성: teleport-cluster Helm 차트에 대한 values 파일에서 설정할 수 있는 모든 옵션을 보려면 참조 가이드를 참조하세요.
리소스 등록: 인프라의 모든 Kubernetes 클러스터를 Teleport에 등록할 수 있습니다. 시작하려면 클라우드의 모든 클러스터를 자동으로 등록하는 방법을 보려면 자동 검색 가이드를 읽어보세요. 서버, 데이터베이스, 애플리케이션, Windows 데스크톱도 등록할 수 있습니다.
Kubernetes RBAC 미세 조정: 이 가이드에서 생성한 사용자는 system:masters 역할에 접근할 수 있지만, Teleport의 RBAC를 설정하여 Kubernetes 리소스에 접근하기 위한 세분화된 제어를 활성화할 수 있습니다. 자세한 내용은 Kubernetes 접근 제어 가이드를 참조하세요.

Kubernetes에 Teleport 배포

원문 보기

번역일: 2026-04-04

요약

작동 방식#

사전 요구사항#

등록된 도메인 이름. Teleport가 Let's Encrypt를 통해 TLS를 설정하고 Teleport 클라이언트가 Proxy Service 호스트를 확인하는 데 필요합니다.
클라우드 제공자가 호스팅하는 Kubernetes 클러스터. 이 가이드에서 배포하는 로드 밸런서에 필요합니다. 처음에는 비프로덕션 클러스터에서 이 가이드를 따르는 것을 권장합니다.
Auth Service가 클러스터 상태를 저장하는 데 사용할 수 있는 영구 볼륨. Kubernetes 클러스터에 사용 가능한 것이 있는지 확인합니다:
```
$ kubectl get pv
```
사용 가능한 영구 볼륨이 없는 경우 하나를 제공하거나 클러스터에 대해 동적 볼륨 프로비저닝을 활성화해야 합니다. 예를 들어 Amazon Elastic Kubernetes Service에서는 Elastic Block Store Container Storage Interface 드라이버 애드온을 구성할 수 있습니다.

동적 볼륨 프로비저닝이 활성화되어 있는지 확인하려면 기본 StorageClass의 존재 여부를 확인합니다:
```
$ kubectl get storageclasses
```
eksctl로 새 EKS 클러스터를 실행하는 경우?

이 가이드를 따르기 위해 eksctl을 사용하여 새 Amazon Elastic Kubernetes Service 클러스터를 실행하는 경우 다음 예시 구성은 EBS CSI 드라이버 애드온을 설정합니다.

위험

아래 예시 구성은 eksctl 작동 방식에 익숙하고, 프로덕션에서 EKS 클러스터를 사용하지 않으며, 자신의 책임 하에 진행한다는 것을 이해하고 있다고 가정합니다.

필요에 따라 클러스터 이름, 버전, 노드 그룹 크기 및 리전을 업데이트합니다:
```
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig
metadata:
  name: my-cluster
  region: us-east-1
  version: "1.32"

iam:
  withOIDC: true

addons:
- name: aws-ebs-csi-driver
  version: v1.39.0-eksbuild.1
  attachPolicyARNs:
  - arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy

managedNodeGroups:
  - name: managed-ng-2
    instanceType: t3.medium
    minSize: 2
    maxSize: 3
```
워크스테이션에 설치된 tsh 클라이언트 도구. 설치 페이지에서 다운로드할 수 있습니다.

경고

이 가이드는 가장 광범위한 권한 세트로 Kubernetes 접근을 설정하는 방법을 보여줍니다. 이는 개인 데모 클러스터에 적합하지만 프로덕션 사용을 위한 Kubernetes RBAC를 설정하려면 시작하기 전에 Teleport Kubernetes RBAC 가이드를 숙지하는 것을 권장합니다.

1단계/2. Teleport 설치#

Kubernetes에 Teleport 클러스터를 배포하려면 다음을 수행해야 합니다:

Kubernetes 클러스터에 Teleport Auth Service와 Proxy Service를 배포하는 teleport-cluster Helm 차트를 설치합니다.
클러스터가 실행되면 클라이언트가 클러스터에 접근하는 데 사용할 수 있는 DNS 레코드를 생성합니다.

`teleport-cluster` Helm 차트 설치#

Kubernetes 클러스터에 Teleport Auth Service와 Proxy Service를 배포하려면 아래 지침에 따라 teleport-cluster Helm 차트를 설치합니다.

Teleport Helm 차트 리포지토리를 추가합니다.

Teleport에 대한 네임스페이스를 생성하고 네임스페이스의 파드에 보안 표준을 적용하는 Pod Security Admission을 구성합니다:

$ kubectl create namespace teleport-cluster
namespace/teleport-cluster created

$ kubectl label namespace teleport-cluster 'pod-security.kubernetes.io/enforce=baseline'
namespace/teleport-cluster labeled

타이핑을 줄이기 위해 kubectl 컨텍스트를 네임스페이스로 설정합니다:
```
$ kubectl config set-context --current --namespace=teleport-cluster
```
을 도메인 이름의 서브도메인(예: teleport.example.com)으로 할당합니다.
을 TLS 자격 증명을 제공하는 Let's Encrypt에서 알림을 받을 이메일 주소로 할당합니다.
Helm values 파일을 생성합니다:

Open Source:

단일 노드 Teleport 클러스터를 구성하고 ACME를 사용하여 인증서를 프로비저닝하는 values 파일(teleport-cluster-values.yaml)을 작성합니다.
```
$ cat << EOF > teleport-cluster-values.yaml
clusterName: 
proxyListenerMode: multiplex
acme: true
acmeEmail: 
EOF
```
Enterprise:

라이선스를 획득하고 터미널의 작업 디렉터리 경로 license.pem에 저장합니다.

라이선스 파일을 사용하여 teleport-cluster 네임스페이스에 "license"라는 시크릿을 생성합니다:
```
$ kubectl create secret generic license --from-file=license.pem
secret/license created
```
단일 노드 Teleport 클러스터를 구성하고 ACME를 사용하여 인증서를 프로비저닝하는 values 파일(teleport-cluster-values.yaml)을 작성합니다.
```
$ cat << EOF > teleport-cluster-values.yaml
clusterName: 
proxyListenerMode: multiplex
acme: true
acmeEmail: 
enterprise: true
EOF
```

생성한 values 파일을 사용하여 teleport-cluster Helm 차트를 설치합니다:

$ helm install teleport-cluster teleport/teleport-cluster \
  --version (=teleport.version=) \
  --values teleport-cluster-values.yaml

teleport-cluster 차트를 설치한 후 잠시 기다리고 Auth Service와 Proxy Service 파드가 모두 실행 중인지 확인합니다:

$ kubectl get pods
NAME                                      READY   STATUS    RESTARTS   AGE
teleport-cluster-auth-000000000-00000     1/1     Running   0          114s
teleport-cluster-proxy-0000000000-00000   1/1     Running   0          114s

DNS 레코드 설정#

이 섹션에서는 Proxy Service 주소를 가리키는 DNS 레코드를 생성하여 사용자와 서비스가 클러스터에 연결할 수 있도록 합니다.

2단계/2. 로컬 사용자 생성#

Teleport 사용자가 SSO 제공자를 통해 인증하는 것을 권장하지만, 로컬 사용자는 SSO 제공자가 다운된 경우를 위한 신뢰할 수 있는 폴백입니다.

다음 역할 사양을 member.yaml 파일에 붙여넣습니다.

역할을 생성합니다:

$ kubectl exec -i deployment/teleport-cluster-auth -- tctl create -f < member.yaml
role 'member' has been created

사용자를 생성하고 초대 링크를 생성합니다. 를 생성하려는 로컬 Teleport 사용자 이름으로 교체합니다:

$ kubectl exec -ti deployment/teleport-cluster-auth -- tctl users add  --roles=member,access,editor
User "myuser" has been created but requires a password. Share this URL with the user to
complete user setup, link is valid for 1h:

https://tele.example.com:443/web/invite/(=presets.tokens.first=)

NOTE: Make sure tele.example.com:443 points at a Teleport proxy which users can access.

초대 링크를 방문하고 웹 UI의 지침에 따라 사용자를 활성화합니다.
로컬 사용자로 tsh login을 시도합니다:
```
$ tsh login --proxy=:443 --user=
```
Teleport 클러스터에 연결되면 사용자에 대해 사용 가능한 Kubernetes 클러스터를 나열합니다:
```
$ tsh kube ls
Kube Cluster Name Selected
----------------- --------
tele.example.com
```

$ KUBECONFIG=$HOME/teleport-kubeconfig.yaml tsh kube login 

$ KUBECONFIG=$HOME/teleport-kubeconfig.yaml kubectl get -n teleport-cluster pods
NAME                                      READY   STATUS    RESTARTS   AGE
teleport-cluster-auth-000000000-00000     1/1     Running   0          26m
teleport-cluster-proxy-0000000000-00000   1/1     Running   0          26m

문제 해결#

$ kubectl get pods -n teleport-cluster
NAME                                      READY   STATUS    RESTARTS   AGE
teleport-cluster-auth-5f8587bfd4-p5zv6    1/1     Running   0          48s
teleport-cluster-proxy-767747dd94-vkxz6   1/1     Running   0          48s

kubectl get events --sort-by='.metadata.creationTimestamp' -A의 출력도 Kubernetes 클러스터 내에서 발생하는 가장 최근 이벤트를 표시하여 유용할 수 있습니다.

다음 단계#

Single Sign-On 설정: 이 가이드에서는 데모 환경에 적합한 로컬 사용자를 생성하는 방법을 보여주었습니다. 프로덕션 배포의 경우 선택한 제공자로 Single Sign-On을 설정해야 합니다. 방법은 Single Sign-On 가이드를 참조하세요.
Teleport 배포 구성: teleport-cluster Helm 차트에 대한 values 파일에서 설정할 수 있는 모든 옵션을 보려면 참조 가이드를 참조하세요.
리소스 등록: 인프라의 모든 Kubernetes 클러스터를 Teleport에 등록할 수 있습니다. 시작하려면 클라우드의 모든 클러스터를 자동으로 등록하는 방법을 보려면 자동 검색 가이드를 읽어보세요. 서버, 데이터베이스, 애플리케이션, Windows 데스크톱도 등록할 수 있습니다.
Kubernetes RBAC 미세 조정: 이 가이드에서 생성한 사용자는 system:masters 역할에 접근할 수 있지만, Teleport의 RBAC를 설정하여 Kubernetes 리소스에 접근하기 위한 세분화된 제어를 활성화할 수 있습니다. 자세한 내용은 Kubernetes 접근 제어 가이드를 참조하세요.

Kubernetes에 Teleport 배포

작동 방식#

사전 요구사항#

1단계/2. Teleport 설치#

teleport-cluster Helm 차트 설치#

DNS 레코드 설정#

2단계/2. 로컬 사용자 생성#

문제 해결#

다음 단계#

작동 방식#

사전 요구사항#

1단계/2. Teleport 설치#

teleport-cluster Helm 차트 설치#

DNS 레코드 설정#

2단계/2. 로컬 사용자 생성#

문제 해결#

다음 단계#

`teleport-cluster` Helm 차트 설치#

`teleport-cluster` Helm 차트 설치#