📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서(v17.0.0)의 한글판을 국내 최초로 제공합니다.
Infograb logo
Teleport 에이전트 레이블로서 GCP 태그 및 레이블

Google Compute Engine 인스턴스에서 실행할 때, Teleport는 자동으로 GCP 태그 (자체 리소스인 키-값 쌍)와 레이블 (각 인스턴스에 특정한 키-값 쌍)을 SSH 노드, 애플리케이션, 데이터베이스 및 Kubernetes 클러스터에 대한 Teleport 레이블로 감지하고 가져옵니다. 이 방법으로 가져온 태그와 레이블 모두 gcp/ 접두사를 가지며, 또한 태그는 tag/ 중간 접미사를, 레이블은 label/ 중간 접미사를 받습니다. 예를 들어, 레이블이 foo=bar 이고 태그가 baz=quux 인 인스턴스는 Teleport 레이블 gcp/label/foo=bargcp/tag/baz=quux 를 갖게 됩니다.

Teleport 프로세스가 시작되면 GCP API에서 모든 태그와 레이블을 가져와 레이블로 추가합니다. 이 프로세스는 매시간 태그를 업데이트하므로, 새로 생성되거나 삭제된 태그는 레이블에 반영됩니다.

GCP 레이블 TeleportHostname (대소문자 구분)이 있을 경우, 그 값은 노드의 호스트명을 덮어씁니다. 이는 GCP 태그에는 적용되지 않습니다.

tsh ls
Node Name            Address        Labels-------------------- -------------- -------------------------------------------------------------------------------------------fakehost.example.com 127.0.0.1:3022 gcp/label/testing=yes,gcp/tag/environment=staging,gcp/TeleportHostname=fakehost.example.com

여러 리소스를 관리하는 서비스(예: 데이터베이스 서비스)의 경우, 각 리소스는 GCP에서 동일한 태그와 레이블을 받게 됩니다.

전제조건

  • 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

  • tctl 관리자 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

  • GCP Compute 인스턴스에서 실행 중인 Teleport 에이전트 1개. Teleport 에이전트를 설정하는 방법은 가이드를 참고하십시오.

Teleport 노드가 있는 인스턴스에서 서비스 계정 구성

태그와 레이블을 가져오는 데 필요한 IAM 권한을 Teleport에 부여할 서비스 계정을 생성합니다. 다음 내용을 복사하여 teleport-labels-role.yaml 라는 파일에 붙여넣습니다:

# teleport-labels-role.yaml
title: "teleport-labels"
description: "Teleport가 태그 및 레이블을 가져올 수 있도록 하는 역할"
stage: "ALPHA"
includedPermissions:
  - compute.instances.get
  - compute.instances.listEffectiveTags

다음 명령어를 실행하여 역할을 생성합니다:

gcloud iam roles create teleport_labels \--project=project_id \--file=teleport-labels-role.yaml

다음 명령어를 실행하여 서비스 계정을 생성합니다:

gcloud iam service-accounts create teleport-labels \--description="태그 및 레이블을 가져오도록 Teleport를 활성화하는 서비스 계정" \--display-name="teleport-labels"

다음 명령어를 실행하여 새 역할을 새 서비스 계정에 추가합니다:

gcloud projects add-iam-policy-binding project_id \--member="serviceAccount:teleport-labels@project_id.iam.gserviceaccount.com" \--role="projects/project_id/roles/teleport_labels"

라벨만 가져오거나 태그만 가져오고 싶다면, 생성된 서비스 계정의 권한에서 compute.instances.listEffectiveTags 또는 compute.instances.get 을 제외할 수 있습니다.

Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!