📣 DevOps 전문 기업 인포그랩이 만든 Teleport 공식 문서 한국어 페이지입니다.
이 페이지는 Teleport 공식 문서를 한국어로 번역해 제공합니다.
Infograb logo
GCP 태그 및 레이블을 Teleport 에이전트 레이블로 사용하기

Google Compute Engine 인스턴스에서 실행할 때, Teleport는 GCP 태그 (자체 리소스인 키-값 쌍)와 레이블 (각 인스턴스에 특정한 키-값 쌍)을 자동으로 감지하고 Teleport 레이블로 가져옵니다. SSH 노드, 애플리케이션, 데이터베이스 및 Kubernetes 클러스터에 대해 이렇게 가져온 태그와 레이블은 gcp/ 접두사를 가지며, 태그는 tag/ 중간 접미사를, 레이블은 label/ 중간 접미사를 받습니다. 예를 들어, 레이블이 foo=bar이고 태그가 baz=quux인 인스턴스는 Teleport 레이블 gcp/label/foo=bargcp/tag/baz=quux를 가지게 됩니다.

Teleport 프로세스가 시작되면, GCP API에서 모든 태그와 레이블을 가져와 이들을 레이블로 추가합니다. 이 프로세스는 매시간 태그를 업데이트하므로, 새로 생성되거나 삭제된 태그가 레이블에 반영됩니다.

GCP 레이블 TeleportHostname (대소문자 구분)이 존재하는 경우, 그 값은 노드의 호스트명보다 우선합니다. 이는 GCP 태그에는 적용되지 않습니다.

$ tsh ls
Node Name            Address        Labels                                                                                                                  
-------------------- -------------- -------------------------------------------------------------------------------------------
fakehost.example.com 127.0.0.1:3022 gcp/label/testing=yes,gcp/tag/environment=staging,gcp/TeleportHostname=fakehost.example.com

여러 리소스를 관리하는 서비스(예: 데이터베이스 서비스)의 경우, 각 리소스는 GCP에서 동일한 태그와 레이블을 받게 됩니다.

사전 요구 사항

  • 실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.

  • tctl 관리 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드에 대한 지침은 설치를 방문하세요.

  • GCP Compute 인스턴스에서 실행 중인 Teleport 에이전트 1개. Teleport 에이전트를 설정하는 방법은 우리의 가이드를 참조하세요.

Teleport 노드가 있는 인스턴스에서 서비스 계정 구성

Teleport가 태그와 레이블을 가져오는 데 필요한 IAM 권한을 부여할 서비스 계정을 만드세요. 다음 내용을 복사하여 teleport-labels-role.yaml 파일에 붙여넣습니다:

# teleport-labels-role.yaml
title: "teleport-labels"
description: "태그 및 레이블을 가져오기 위해 Teleport를 활성화하는 역할"
stage: "ALPHA"
includedPermissions:
- compute.instances.get
- compute.instances.listEffectiveTags

그런 다음 다음 명령을 실행하여 역할을 생성합니다:

gcloud iam roles create teleport_labels \--project=project_id \--file=teleport-labels-role.yaml

다음 명령을 실행하여 서비스 계정을 생성합니다:

gcloud iam service-accounts create teleport-labels \--description="태그 및 레이블을 가져오기 위해 Teleport를 활성화하는 서비스 계정" \--display-name="teleport-labels"

다음 명령을 실행하여 새 역할을 새 서비스 계정에 추가합니다:

gcloud projects add-iam-policy-binding project_id \--member="serviceAccount:teleport-labels@project_id.iam.gserviceaccount.com" \--role="projects/project_id/roles/teleport_labels"

레이블만 가져오거나 태그만 가져오려면, 각각 생성한 서비스 계정의 권한에서 compute.instances.listEffectiveTags 또는 compute.instances.get를 제외할 수 있습니다.

Teleport 원문 보기