InfoGrab Docs

env zero에서 Teleport Terraform 프로바이더 실행하기

요약

이 가이드에서는 env zero에서 실행되는 작업에서 Teleport용 Terraform 프로바이더를 사용하는 방법을 설명합니다. 이 가이드는 Terraform 프로바이더를 로컬에서 실행하거나, 다른 CI/CD 환경 또는 단기간 클라우드 VM에서 실행하는 방법은 다루지 않습니다.

이 가이드에서는 env zero에서 실행되는 작업에서 Teleport용 Terraform 프로바이더를 사용하는 방법을 설명합니다.

이 가이드는 Terraform 프로바이더를 로컬에서 실행하거나, 다른 CI/CD 환경 또는 단기간 클라우드 VM에서 실행하는 방법은 다루지 않습니다. 해당 경우에는 전용 가이드를 참조하세요:

동작 방식#

env zero에서 Teleport Terraform 프로바이더를 실행할 때, 내장된 Machine & Workload ID 지원을 사용하여 공유 비밀 없이 Teleport 클러스터에 동적으로 인증할 수 있습니다.

이를 위해 Teleport는 env zero 플랫폼에서 실행되는 작업에 OIDC 토큰을 제공하는 env zero의 General OIDC Integrations 지원을 활용할 수 있습니다. 그런 다음 Teleport Terraform 프로바이더는 이 토큰을 사용하여 Teleport 클러스터에 자신의 ID를 증명합니다.

이 가이드를 따르면서 env zero 배포에서 참여 요청을 수락하도록 Teleport 클러스터를 구성하고, env0 참여 방법을 사용하여 인증하도록 프로바이더를 구성합니다.

사전 요구 사항#

  • A running Teleport 18.4.0 cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

  • Terraform >= [terraform.version]+

    $ terraform version
# Terraform v(=terraform.version=)

    기존 Teleport 리소스를 Terraform 리소스로 가져오려면 Terraform 버전 v1.5.0 이상이 필요합니다.

  • env zero 계정 및 프로젝트

  • Teleport Terraform 프로바이더 v18.4.0 이상

1/5단계: env zero에서 OIDC 활성화하기#

조직의 자격 증명 설정에서 OIDC 통합을 활성화해야 합니다. 이를 위해:

  1. 조직 설정으로 이동합니다
  2. "Policies" 탭을 선택합니다
  3. "Third-Party Authentication" 헤더 아래에서 "Enable OIDC during deployments"가 체크되어 있는지 확인합니다
  4. 필요한 경우 "Save"를 선택합니다

자세한 내용은 env zero 문서를 참조하세요.

2/5단계. 정보 수집하기#

배포 워크플로가 Teleport에 인증할 수 있도록 최소한 조직 및 프로젝트의 ID를 구성해야 합니다. 이 값들은 env zero UI에서 찾을 수 있습니다.

조직 ID를 확인하려면 조직 설정으로 이동하여 "General" 탭을 선택하고 ID 필드에 표시된 값을 메모하세요. 원하는 경우 조직 ID를 여기에 저장하세요:

그 다음 프로젝트 ID도 가져와야 합니다. 원하는 프로젝트의 설정으로 이동하여 표시된 ID를 메모하세요. 원하는 경우 여기에 입력할 수 있습니다:

3/5단계. Teleport에서 env zero 참여 구성하기#

먼저, Teleport Auth Service가 env zero 실행에서 참여 요청을 수락하도록 구성해야 합니다. 이후 단계에서 Teleport Terraform 프로바이더가 사용할 terraform이라는 이름의 봇을 생성하여 이 작업을 수행합니다.

다음 내용을 terraform_bot.yaml에 작성합니다:

kind: bot
version: v1
metadata:
  name: terraform
spec:
  # terraform-provider 역할은 terraform 프로바이더가 지원하는 모든
  # 리소스에 대한 접근 권한을 부여하는 내장 역할입니다.
  roles: ["terraform-provider"]

그런 다음 새 YAML 매니페스트에서 봇을 생성합니다:

$ tctl create -f terraform_bot.yaml
bot 'terraform' has been created

다음으로, 새 봇이 env zero의 OIDC 자격 증명으로 인증할 수 있어야 합니다. 다음 내용으로 terraform_token.yaml이라는 파일을 생성합니다:

kind: token
version: v2
metadata:
  name: terraform
spec:
  roles: [Bot]
  join_method: env0
  bot_name: terraform
  env0:
    allow:
      - organization_id:  name="example-organization-id" />
        project_id:  name="example-project-id" />

추가 허용 규칙 필드를 사용하여 인증이 허용되는 작업을 더욱 제한할 수 있습니다. 전체 옵션 목록은 env0 참여 방법 참조를 참조하세요.

배포 작업이 참여할 수 있도록 허용되려면 지정된 모든 필드가 Teleport에 제시되는 값과 일치해야 합니다. 여러 프로젝트의 참여를 허용하려면 allow 필드에 추가 항목을 추가할 수 있습니다. 또한 각 항목은 최소한 organization_id와 프로젝트 식별자(project_id 또는 project_name)를 제공해야 합니다.

완료되면 토큰을 생성합니다:

$ tctl create -f terraform_token.yaml
token 'terraform' has been created

4/5단계. Terraform 프로바이더 구성하기#

provider.tf 또는 유사한 파일에서 teleport 프로바이더를 구성합니다:

provider "teleport" {
  addr = "example.teleport.sh:443"
  join_method = "env0"
  join_token = "terraform"
}

다음 매개변수를 설정해야 합니다:

  • addr는 Teleport 클러스터의 공개 호스트명과 포트와 일치해야 합니다
  • join_methodenv0이어야 합니다
  • join_token은 2단계에서 생성한 token 리소스의 이름과 일치해야 합니다

기존 identity_file_path가 있다면 반드시 제거하세요. join_methodjoin_token으로 대체됩니다.

완전한 예시로 이 최소한의 provider.tf를 참고하세요:

terraform {
  required_providers {
    teleport = {
      source  = "terraform.releases.teleport.dev/gravitational/teleport"
      version = "(=teleport.plugin.version=)"
    }
  }
}

provider "teleport" {
  addr = "example.teleport.sh:443"
  join_method = "env0"
  join_token = "terraform"
}

resource "teleport_role" "test" {
  version = "v7"
  metadata = {
    name        = "test"
    description = "Dummy role to validate Terraform Provider setup"
    labels = {
      test = "yes"
    }
  }
}

5/5단계. Terraform 실행하기#

이제 Terraform plan 또는 apply를 수행할 수 있습니다. CLI, API, Git 등 모든 유형의 트리거가 작동합니다.

로컬 terraform이 env zero에 인증되어 있고 Remote Plan이 구성된 경우 다음을 실행할 수 있습니다:

$ terraform plan

그렇지 않은 경우 일반적으로 사용하는 방법(수동, Git 훅 등)으로 작업 실행을 트리거할 수 있습니다.

트리거 방법에 관계없이, Terraform 구성에 따라 워크플로가 성공적으로 실행되어야 합니다. tctl을 사용하여 더미 역할이 생성되었는지 확인할 수 있습니다:

$ tctl get role/test

다음 단계#

  • Terraform과 env zero로 Teleport 구성 리소스를 관리하는 방법을 알았다면, 구성을 구체화할 수 있도록 Terraform 리소스 참조를 읽어보세요.
  • Machine & Workload ID가 Teleport 클러스터에 인증하는 데 사용하는 env zero의 OIDC 구현에 대해 자세히 알아보려면 env zero 문서를 읽어보세요.

env zero에서 Teleport Terraform 프로바이더 실행하기

원문 보기
요약

이 가이드에서는 env zero에서 실행되는 작업에서 Teleport용 Terraform 프로바이더를 사용하는 방법을 설명합니다. 이 가이드는 Terraform 프로바이더를 로컬에서 실행하거나, 다른 CI/CD 환경 또는 단기간 클라우드 VM에서 실행하는 방법은 다루지 않습니다.

이 가이드에서는 env zero에서 실행되는 작업에서 Teleport용 Terraform 프로바이더를 사용하는 방법을 설명합니다.

이 가이드는 Terraform 프로바이더를 로컬에서 실행하거나, 다른 CI/CD 환경 또는 단기간 클라우드 VM에서 실행하는 방법은 다루지 않습니다. 해당 경우에는 전용 가이드를 참조하세요:

동작 방식#

env zero에서 Teleport Terraform 프로바이더를 실행할 때, 내장된 Machine & Workload ID 지원을 사용하여 공유 비밀 없이 Teleport 클러스터에 동적으로 인증할 수 있습니다.

이를 위해 Teleport는 env zero 플랫폼에서 실행되는 작업에 OIDC 토큰을 제공하는 env zero의 General OIDC Integrations 지원을 활용할 수 있습니다. 그런 다음 Teleport Terraform 프로바이더는 이 토큰을 사용하여 Teleport 클러스터에 자신의 ID를 증명합니다.

이 가이드를 따르면서 env zero 배포에서 참여 요청을 수락하도록 Teleport 클러스터를 구성하고, env0 참여 방법을 사용하여 인증하도록 프로바이더를 구성합니다.

사전 요구 사항#

  • A running Teleport 18.4.0 cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

  • Terraform >= [terraform.version]+

    $ terraform version
# Terraform v(=terraform.version=)

    기존 Teleport 리소스를 Terraform 리소스로 가져오려면 Terraform 버전 v1.5.0 이상이 필요합니다.

  • env zero 계정 및 프로젝트

  • Teleport Terraform 프로바이더 v18.4.0 이상

1/5단계: env zero에서 OIDC 활성화하기#

조직의 자격 증명 설정에서 OIDC 통합을 활성화해야 합니다. 이를 위해:

  1. 조직 설정으로 이동합니다
  2. "Policies" 탭을 선택합니다
  3. "Third-Party Authentication" 헤더 아래에서 "Enable OIDC during deployments"가 체크되어 있는지 확인합니다
  4. 필요한 경우 "Save"를 선택합니다

자세한 내용은 env zero 문서를 참조하세요.

2/5단계. 정보 수집하기#

배포 워크플로가 Teleport에 인증할 수 있도록 최소한 조직 및 프로젝트의 ID를 구성해야 합니다. 이 값들은 env zero UI에서 찾을 수 있습니다.

조직 ID를 확인하려면 조직 설정으로 이동하여 "General" 탭을 선택하고 ID 필드에 표시된 값을 메모하세요. 원하는 경우 조직 ID를 여기에 저장하세요:

그 다음 프로젝트 ID도 가져와야 합니다. 원하는 프로젝트의 설정으로 이동하여 표시된 ID를 메모하세요. 원하는 경우 여기에 입력할 수 있습니다:

3/5단계. Teleport에서 env zero 참여 구성하기#

먼저, Teleport Auth Service가 env zero 실행에서 참여 요청을 수락하도록 구성해야 합니다. 이후 단계에서 Teleport Terraform 프로바이더가 사용할 terraform이라는 이름의 봇을 생성하여 이 작업을 수행합니다.

다음 내용을 terraform_bot.yaml에 작성합니다:

kind: bot
version: v1
metadata:
  name: terraform
spec:
  # terraform-provider 역할은 terraform 프로바이더가 지원하는 모든
  # 리소스에 대한 접근 권한을 부여하는 내장 역할입니다.
  roles: ["terraform-provider"]

그런 다음 새 YAML 매니페스트에서 봇을 생성합니다:

$ tctl create -f terraform_bot.yaml
bot 'terraform' has been created

다음으로, 새 봇이 env zero의 OIDC 자격 증명으로 인증할 수 있어야 합니다. 다음 내용으로 terraform_token.yaml이라는 파일을 생성합니다:

kind: token
version: v2
metadata:
  name: terraform
spec:
  roles: [Bot]
  join_method: env0
  bot_name: terraform
  env0:
    allow:
      - organization_id:  name="example-organization-id" />
        project_id:  name="example-project-id" />

추가 허용 규칙 필드를 사용하여 인증이 허용되는 작업을 더욱 제한할 수 있습니다. 전체 옵션 목록은 env0 참여 방법 참조를 참조하세요.

배포 작업이 참여할 수 있도록 허용되려면 지정된 모든 필드가 Teleport에 제시되는 값과 일치해야 합니다. 여러 프로젝트의 참여를 허용하려면 allow 필드에 추가 항목을 추가할 수 있습니다. 또한 각 항목은 최소한 organization_id와 프로젝트 식별자(project_id 또는 project_name)를 제공해야 합니다.

완료되면 토큰을 생성합니다:

$ tctl create -f terraform_token.yaml
token 'terraform' has been created

4/5단계. Terraform 프로바이더 구성하기#

provider.tf 또는 유사한 파일에서 teleport 프로바이더를 구성합니다:

provider "teleport" {
  addr = "example.teleport.sh:443"
  join_method = "env0"
  join_token = "terraform"
}

다음 매개변수를 설정해야 합니다:

  • addr는 Teleport 클러스터의 공개 호스트명과 포트와 일치해야 합니다
  • join_methodenv0이어야 합니다
  • join_token은 2단계에서 생성한 token 리소스의 이름과 일치해야 합니다

기존 identity_file_path가 있다면 반드시 제거하세요. join_methodjoin_token으로 대체됩니다.

완전한 예시로 이 최소한의 provider.tf를 참고하세요:

terraform {
  required_providers {
    teleport = {
      source  = "terraform.releases.teleport.dev/gravitational/teleport"
      version = "(=teleport.plugin.version=)"
    }
  }
}

provider "teleport" {
  addr = "example.teleport.sh:443"
  join_method = "env0"
  join_token = "terraform"
}

resource "teleport_role" "test" {
  version = "v7"
  metadata = {
    name        = "test"
    description = "Dummy role to validate Terraform Provider setup"
    labels = {
      test = "yes"
    }
  }
}

5/5단계. Terraform 실행하기#

이제 Terraform plan 또는 apply를 수행할 수 있습니다. CLI, API, Git 등 모든 유형의 트리거가 작동합니다.

로컬 terraform이 env zero에 인증되어 있고 Remote Plan이 구성된 경우 다음을 실행할 수 있습니다:

$ terraform plan

그렇지 않은 경우 일반적으로 사용하는 방법(수동, Git 훅 등)으로 작업 실행을 트리거할 수 있습니다.

트리거 방법에 관계없이, Terraform 구성에 따라 워크플로가 성공적으로 실행되어야 합니다. tctl을 사용하여 더미 역할이 생성되었는지 확인할 수 있습니다:

$ tctl get role/test

다음 단계#

  • Terraform과 env zero로 Teleport 구성 리소스를 관리하는 방법을 알았다면, 구성을 구체화할 수 있도록 Terraform 리소스 참조를 읽어보세요.
  • Machine & Workload ID가 Teleport 클러스터에 인증하는 데 사용하는 env zero의 OIDC 구현에 대해 자세히 알아보려면 env zero 문서를 읽어보세요.