InfoGrab Docs

Proxy Peering 마이그레이션

요약

Proxy Peering을 사용하면 모든 Teleport Proxy Service 인스턴스에 연결하지 않고도 Teleport 에이전트에 접근할 수 있습니다. 기본적으로 Teleport 에이전트는 클라이언트가 모든 에이전트에 접근할 수 있도록 모든 Proxy Service 인스턴스에 역방향 터널을 생성해야 합니다.

Proxy Peering을 사용하면 모든 Teleport Proxy Service 인스턴스에 연결하지 않고도 Teleport 에이전트에 접근할 수 있습니다. 이를 통해 에이전트가 생성하는 연결 수를 늘리지 않고 Proxy Service 인스턴스를 수평으로 확장할 수 있습니다.

기본적으로 Teleport 에이전트는 클라이언트가 모든 에이전트에 접근할 수 있도록 모든 Proxy Service 인스턴스에 역방향 터널을 생성해야 합니다. Proxy Peering을 사용하면 이것이 더 이상 요구 사항이 아닙니다. Proxy Peering이 활성화되면 에이전트는 구성된 수의 Proxy Service 인스턴스에 연결하도록 동작이 자동으로 변경됩니다.

이 가이드는 Proxy Peering을 사용하도록 Teleport 클러스터를 마이그레이션하는 방법을 보여줍니다.

작동 방식#

각 Teleport Proxy Service 인스턴스의 gRPC 서비스는 해당 인스턴스에 연결된 에이전트에 대한 양방향 연결을 설정하기 위한 API를 제공합니다. Proxy Service 인스턴스는 클러스터의 다른 모든 Proxy Service 인스턴스에 대한 gRPC 클라이언트도 관리합니다.

각 에이전트가 연결된 Proxy Service 인스턴스에 대한 라우팅 정보는 Teleport의 백엔드에 저장되고 각 Proxy Service 인스턴스로 전파됩니다.

라우팅 정보와 gRPC 서비스를 통해 Proxy Service 인스턴스는 에이전트가 연결된 피어 인스턴스를 식별하고 클라이언트에서 해당 에이전트까지 엔드-투-엔드 연결을 생성할 수 있습니다. 이를 통해 처음에 동일한 Proxy Service 인스턴스에 연결하지 않고도 에이전트에 접근할 수 있습니다.

에이전트는 Proxy Service 인스턴스에 역방향 터널을 생성하기 전에 Proxy Peering이 활성화되어 있는지 확인합니다. 기본적으로 Proxy Peering 모드에서 에이전트는 단일 Proxy Service 인스턴스에 연결하도록 구성됩니다. 고가용성을 위해 클러스터 관리자는 에이전트가 2개 이상의 Proxy Service 인스턴스에 연결하도록 구성할 수 있습니다.

Teleport Proxy Peering

사전 요구사항#

  1. 신뢰할 수 있는 클러스터를 사용하지 않는 기존 자체 호스팅 Teleport Enterprise 클러스터. 시작하려면 Teleport 자체 호스팅 문서를 참조하세요.

  2. 다음 DNS 요구 사항을 충족하는 네트워크 아키텍처:

    • Teleport Proxy Service 인스턴스는 기본적으로 포트 3021에서 네트워크를 통해 서로 접근할 수 있어야 합니다. 인스턴스 간의 통신을 차단하는 방화벽 정책이 없는지 확인합니다.
    • 모든 Proxy Service 인스턴스는 단일 도메인에서 접근 가능해야 합니다. 서로 다른 네트워크의 클라이언트가 Teleport Proxy Service에 접근해야 하는 경우 일반적인 패턴은 분할 DNS를 사용하여 네트워크에 따라 동일한 도메인을 다르게 해석하는 것입니다.

1단계/3. Proxy Peering 활성화#

클러스터의 Auth Service 구성을 업데이트하여 터널 전략 유형을 proxy_peering으로 설정합니다.

auth_service:
    tunnel_strategy:
        type: proxy_peering
        agent_connection_count: 1

이 설정은 에이전트에게 agent_connection_count 필드로 지정된 1개의 Teleport Proxy 인스턴스에만 연결하면 된다는 것을 나타냅니다.

고가용성을 위해 1보다 큰 agent_connection_count를 구성할 수 있습니다. 이렇게 하면 에이전트가 연결된 Proxy Service 인스턴스 중 하나를 사용할 수 없는 경우에도 에이전트에 접근할 수 있습니다.

2단계/3. Auth Service 재시작#

새 Auth Service 구성을 적용하려면 클러스터에서 실행 중인 모든 Teleport Auth Service 인스턴스를 재시작합니다.

3단계/3. Proxy Service 재시작#

Proxy Peering에 필요한 서비스를 시작하려면 클러스터에서 실행 중인 모든 Teleport Proxy Service 인스턴스를 재시작합니다.

Proxy Peering 마이그레이션

원문 보기
요약

Proxy Peering을 사용하면 모든 Teleport Proxy Service 인스턴스에 연결하지 않고도 Teleport 에이전트에 접근할 수 있습니다. 기본적으로 Teleport 에이전트는 클라이언트가 모든 에이전트에 접근할 수 있도록 모든 Proxy Service 인스턴스에 역방향 터널을 생성해야 합니다.

Proxy Peering을 사용하면 모든 Teleport Proxy Service 인스턴스에 연결하지 않고도 Teleport 에이전트에 접근할 수 있습니다. 이를 통해 에이전트가 생성하는 연결 수를 늘리지 않고 Proxy Service 인스턴스를 수평으로 확장할 수 있습니다.

기본적으로 Teleport 에이전트는 클라이언트가 모든 에이전트에 접근할 수 있도록 모든 Proxy Service 인스턴스에 역방향 터널을 생성해야 합니다. Proxy Peering을 사용하면 이것이 더 이상 요구 사항이 아닙니다. Proxy Peering이 활성화되면 에이전트는 구성된 수의 Proxy Service 인스턴스에 연결하도록 동작이 자동으로 변경됩니다.

이 가이드는 Proxy Peering을 사용하도록 Teleport 클러스터를 마이그레이션하는 방법을 보여줍니다.

작동 방식#

각 Teleport Proxy Service 인스턴스의 gRPC 서비스는 해당 인스턴스에 연결된 에이전트에 대한 양방향 연결을 설정하기 위한 API를 제공합니다. Proxy Service 인스턴스는 클러스터의 다른 모든 Proxy Service 인스턴스에 대한 gRPC 클라이언트도 관리합니다.

각 에이전트가 연결된 Proxy Service 인스턴스에 대한 라우팅 정보는 Teleport의 백엔드에 저장되고 각 Proxy Service 인스턴스로 전파됩니다.

라우팅 정보와 gRPC 서비스를 통해 Proxy Service 인스턴스는 에이전트가 연결된 피어 인스턴스를 식별하고 클라이언트에서 해당 에이전트까지 엔드-투-엔드 연결을 생성할 수 있습니다. 이를 통해 처음에 동일한 Proxy Service 인스턴스에 연결하지 않고도 에이전트에 접근할 수 있습니다.

에이전트는 Proxy Service 인스턴스에 역방향 터널을 생성하기 전에 Proxy Peering이 활성화되어 있는지 확인합니다. 기본적으로 Proxy Peering 모드에서 에이전트는 단일 Proxy Service 인스턴스에 연결하도록 구성됩니다. 고가용성을 위해 클러스터 관리자는 에이전트가 2개 이상의 Proxy Service 인스턴스에 연결하도록 구성할 수 있습니다.

Teleport Proxy Peering

사전 요구사항#

  1. 신뢰할 수 있는 클러스터를 사용하지 않는 기존 자체 호스팅 Teleport Enterprise 클러스터. 시작하려면 Teleport 자체 호스팅 문서를 참조하세요.

  2. 다음 DNS 요구 사항을 충족하는 네트워크 아키텍처:

    • Teleport Proxy Service 인스턴스는 기본적으로 포트 3021에서 네트워크를 통해 서로 접근할 수 있어야 합니다. 인스턴스 간의 통신을 차단하는 방화벽 정책이 없는지 확인합니다.
    • 모든 Proxy Service 인스턴스는 단일 도메인에서 접근 가능해야 합니다. 서로 다른 네트워크의 클라이언트가 Teleport Proxy Service에 접근해야 하는 경우 일반적인 패턴은 분할 DNS를 사용하여 네트워크에 따라 동일한 도메인을 다르게 해석하는 것입니다.

1단계/3. Proxy Peering 활성화#

클러스터의 Auth Service 구성을 업데이트하여 터널 전략 유형을 proxy_peering으로 설정합니다.

auth_service:
    tunnel_strategy:
        type: proxy_peering
        agent_connection_count: 1

이 설정은 에이전트에게 agent_connection_count 필드로 지정된 1개의 Teleport Proxy 인스턴스에만 연결하면 된다는 것을 나타냅니다.

고가용성을 위해 1보다 큰 agent_connection_count를 구성할 수 있습니다. 이렇게 하면 에이전트가 연결된 Proxy Service 인스턴스 중 하나를 사용할 수 없는 경우에도 에이전트에 접근할 수 있습니다.

2단계/3. Auth Service 재시작#

새 Auth Service 구성을 적용하려면 클러스터에서 실행 중인 모든 Teleport Auth Service 인스턴스를 재시작합니다.

3단계/3. Proxy Service 재시작#

Proxy Peering에 필요한 서비스를 시작하려면 클러스터에서 실행 중인 모든 Teleport Proxy Service 인스턴스를 재시작합니다.