Teleport의 Proxy 서비스와 노드는 상태 비저장(stateless)입니다. 이러한 구성 요소는 오직 teleport.yaml 만 백업하면 됩니다.

Auth 서비스는 Teleport의 두뇌이며, 백엔드에 따라 정기적으로 백업해야 합니다.

예를 들어, DynamoDB가 있는 AWS에서 실행되는 Teleport 클러스터는 다음 데이터를 백업해야 합니다:

이 고객의 경우, DynamoDB 백업을 위해 AWS 모범 사례를 사용할 것을 권장합니다. DynamoDB가 Teleport 감사 로그에 사용되는 경우, 기록된 이벤트는 TTL이 1년입니다.

• 백엔드를 지속하고 백업합니다.
• Auth 서비스 인스턴스 간에 해당 백엔드를 공유합니다.
• 동적 리소스 구성을 개별 파일로 git 리포지토리에 저장합니다.
• CI 시스템이 git 리포지토리에서 tctl create -f *.yaml 을 실행하도록 합니다. -f 플래그는 tctl create 가 리소스가 이미 존재할 경우 오류를 반환하지 않도록 지시하므로 이 명령은 정기적으로 실행할 수 있습니다.

Teleport에서 아래 명령어를 사용하여 리소스 컬렉션을 내보낼 수 있습니다. 이 기능은 한 백엔드에서 다른 백엔드로 마이그레이션하는 데 도움이 됩니다.

tctl get all --with-secrets 를 사용하면 아래 항목을 가져옵니다:

• 사용자
• 인증 기관
• 신뢰된 클러스터
• 커넥터:
  • GitHub
  • SAML
  • OIDC
• 역할

백엔드를 마이그레이션할 때는 Auth Service의 data_dir/storage 를 직접 백업해야 합니다.

클러스터 백업 및 복원 예제

로컬 머신에서 tctl을 사용하기 위해 tsh로 클러스터에 로그인합니다.
"tsh login"을 실행하지 않고도 Auth Service 호스트에서 tctl을 실행할 수 있습니다.
tsh login --proxy=teleport.example.com --user=myuser
이전 클러스터에서 동적 구성 상태 내보내기
tctl get all --with-secrets > state.yaml

초기화되지 않은 새로운 백엔드를 준비합니다 (이전 구성 파일에서 비기본 구성 값을 포팅해야 합니다)
mkdir fresh && cat > fresh.yaml << EOFteleport:  data_dir: freshEOF

새 서버 부트스트랩 (먼저 오래된 서버를 종료하세요!)
sudo teleport start --config fresh.yaml --bootstrap state.yaml

다른 터미널에서 상태가 올바르게 전이되었는지 확인합니다
tctl --config fresh.yaml get all
<여기에서 당신의 상태>

--bootstrap 플래그는 Auth Service가 첫 시작 시 백엔드 초기화를 수행할 때를 제외하고는 효과가 없으므로, 관리되는/고가용성 컨텍스트에서 사용하기에 안전합니다.

제한사항

--bootstrap 플래그는 신뢰된 클러스터 핸드셰이크를 다시 트리거하지 않으므로, 신뢰된 클러스터 리소스는 수동으로 다시 생성해야 합니다.

기존 클러스터의 구성 파일을 수정하는 것과 관련된 모든 제한 사항은 이전 클러스터의 상태에서 부트스트랩된 새로운 클러스터에도 적용됩니다:

• 클러스터 이름을 변경하면 CA가 손상됩니다. 이것은 감지되며 Teleport는 시작을 거부합니다.
• 일부 사용자 인증 메커니즘(예: WebAuthn)은 웹 UI의 공용 엔드포인트가 동일하게 유지되어야 합니다. Teleport에서는 이것을 감지할 수 없으므로 주의해야 합니다!
• 초대 토큰이 Auth Service의 구성 파일에 정의된 모든 노드는 자동으로 조인할 수 있지만, 동적으로 추가된 노드는 다시 초대되어야 합니다.