AKS 자동 검색은 자동으로 모든 AKS 클러스터를 발견하고 해당 태그가 구성된 레이블과 일치할 경우 텔레포트에 등록합니다.
Teleport cluster 자동 발견은 두 가지 구성 요소로 이루어집니다:
-
새로운 cluster나 이전에 발견된 cluster의 변경 사항을 감시하는 Teleport Discovery Service입니다. 발견된 각 cluster는 Teleport 클러스터에서
kube_cluster
리소스로 동적으로 등록됩니다. 발견하는 cluster에 대한 연결이 필요하지 않습니다. -
Discovery Service에 의해 등록된 동적
kube_cluster
리소스를 모니터링하는 Teleport Kubernetes Service입니다. 이는 사용자와 cluster 간의 통신을 프록시합니다.
이 가이드는 같은 프로세스에서 Discovery Service와 Kubernetes 서비스를 실행하는 방법을 제시하지만, 두 서비스는 독립적으로 다른 기계에서도 실행될 수 있습니다.
예를 들어, cluster를 Teleport 클러스터에 등록하려는 경우, Kubernetes 서비스의 인스턴스를 같은 사설 네트워크에서 실행할 수 있으며, Discovery Service의 인스턴스는 원하는 네트워크에서 실행할 수 있습니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
- AD 그룹을 만들고 연결할 수 있는 권한을 가진 Azure ID.
- 하나 이상의 AKS 클러스터가 실행되고 있어야 합니다.
- AKS 클러스터에 대한 액세스 권한.
- 텔레포트 검색 및 쿠버네티스 서비스를 실행할 호스트.
1단계/2. 필요한 권한이 있는 Azure ID 설정
각 클러스터의 인증 및 권한 설정에 따라 Azure는 텔레포트가 서버에 요청을 전달하는 데 필요한 권한을 구성하는 방법이 다릅니다.
클러스터에서 사용된 인증 모드를 확인하고 하나 이상의 권한 시나리오를 선택하십시오. 일부 구성에서는 텔레포트가 필요한 권한을 포함하면 클러스터에 대한 액세스를 자동으로 구성할 수 있습니다.
이 시나리오에서 텔레포트의 인증은 Active Directory를 통해 이루어지며, 쿠버네티스 클러스터에 액세스하는 데 필요한 권한은 그 ID에 할당된 역할과 관련이 있습니다.
이 모드는 특정 설정 없이 여러 쿠버네티스 클러스터에 대한 권한을 부여할 수 있게 해줍니다.
이 설정으로 실행 중인 AKS 클러스터에 액세스 권한을 부여하려면, 다음 내용을 포함하는 AD 역할을 만들고 텔레포트 프로세스가 사용할 ID에 할당합니다.
{
"Name": "AKS Teleport Discovery",
"Description": "텔레포트 자동 검색을 위한 필요한 권한.",
"Actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"NotActions": [],
"DataActions": [
"Microsoft.ContainerService/managedClusters/groups/impersonate/action",
"Microsoft.ContainerService/managedClusters/users/impersonate/action",
"Microsoft.ContainerService/managedClusters/serviceaccounts/impersonate/action",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/authorization.k8s.io/selfsubjectaccessreviews/write",
"Microsoft.ContainerService/managedClusters/authorization.k8s.io/selfsubjectrulesreviews/write",
],
"NotDataActions": [],
"assignableScopes": [
"/subscriptions/{subscription_id}"
]
}
{subscription_id}
를 원하는 구독 ID로 바꾸거나
모든 구독에 대한 권한을 보장하려면 와일드카드로 바꿉니다.
Azure AD 인증을 사용하여 Kubernetes RBAC 모드로 설정할 경우, Azure는 AD 자격 증명을 사용하여 사용자 인증을 책임지지만, 권한 관리는 Kubernetes의 RBAC 책임입니다.
따라서 텔레포트가 제대로 작동하려면,
발견된 각 클러스터에서 Kubernetes ClusterRole
및 ClusterRoleBinding
자원을 만들어야 합니다.
ClusterRoleBinding
은 텔레포트 ID에 구성된 AD 그룹 중 하나에 ClusterRole
을 결합해야 합니다.
텔레포트는 다음 경우에 ClusterRole
및 ClusterRoleBinding
자원을 자동으로 생성할 수 있습니다:
- 텔레포트의 AD ID가 정적 클러스터 관리자 자격 증명 (로컬 계정)에 대한 액세스 권한을 가지고 있습니다.
- 텔레포트의 AD ID가 클러스터의 관리자 그룹에 속합니다.
- 텔레포트의 AD ID가 클러스터에서
ClusterRole
및ClusterRoleBinding
을 생성할 권한과 원격 명령어를 실행할 권한을 가지고 있습니다.
지정된 경우 중 어느 경우든 텔레포트는 ClusterRole
을 생성하고
그것을 자신이 속한 첫 번째 AD 그룹에 결합할 수 있습니다. 이를 가능하게 하기 위해
텔레포트의 ID에 다음 권한을 추가하십시오.
{
"Name": "AKS Teleport Discovery",
"Description": "텔레포트 자동 검색을 위한 필요한 권한.",
"Actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/runcommand/action",
"Microsoft.ContainerService/managedclusters/commandResults/read"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"assignableScopes": [
"/subscriptions/{subscription_id}"
]
}
다른 모든 경우에는 아래 가이드를 참조하여 필요한 액세스를 수동으로 설정해야 합니다.
모든 클러스터에 연결하여 관리자 권한으로 등록하고 다음 자원을
kubectl
을 사용하여 생성하십시오.
ClusterRole
텔레포트 Kubernetes 서비스가 클러스터에 요청을 전달하기 위해 필요한 권한으로
ClusterRole
RBAC 정의를 생성합니다.
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: teleport
rules:
- apiGroups:
- ""
resources:
- users
- groups
- serviceaccounts
verbs:
- impersonate
- apiGroups:
- ""
resources:
- pods
verbs:
- get
- apiGroups:
- "authorization.k8s.io"
resources:
- selfsubjectaccessreviews
- selfsubjectrulesreviews
verbs:
- create
ClusterRoleBinding
앞서 생성한 ClusterRole
을 텔레포트 AD 그룹 ID에 연결합니다.
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: teleport
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: teleport
subjects:
- kind: Group
name: {azure_ad_group_id}
apiGroup: rbac.authorization.k8s.io
{azure_ad_group_id}
를 텔레포트 ID와 관련된 적절한 Azure AD 그룹 ID로 바꿉니다.
이 경우 텔레포트는 클러스터의 프로비저닝 단계에서 생성된 사용자 자격 증명을 사용합니다.
{
"Name": "AKS Teleport Discovery",
"Description": "텔레포트 자동 검색을 위한 필요한 권한.",
"Actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"assignableScopes": [
"/subscriptions/{subscription_id}"
]
}
2단계/2. 텔레포트를 구성하여 AKS 클러스터를 발견
텔레포트 AKS 자동 검색은 Discovery 및 Kubernetes 서비스가 클러스터에 가입할
수 있도록 유효한 인증 토큰이 필요합니다. 다음 명령을 실행하여 하나를 생성하고
Kubernetes 검색을 실행할 머신의 /tmp/token
에 저장합니다:
tctl tokens add --type=discovery,kube
AKS 자동 검색을 활성화하려면 discovery_service.azure
섹션에
최소한 하나의 항목이 포함되어야 하며, discovery_service.azure.types
에는
aks
가 포함되어야 합니다. 또한 kubernetes_service.resources.tags
를 구성하여
discovery_service.azure.tags
에 설정된 동일한 레이블을 사용하거나
하위 집합을 사용할 수 있도록 하여 Kubernetes 서비스가 Discovery 서비스가 생성한
동적 리소스를 수신할 수 있게 해야 합니다.
Discovery Service는 discovery_service.discovery_group
이라는 구성 매개변수를 노출하여 발견된 리소스를 서로 다른 세트로 그룹화할 수 있도록 합니다. 이 매개변수는 서로 다른 세트의 클라우드 리소스를 모니터링하는 Discovery Agent가 서로 충돌하여 다른 서비스에 의해 생성된 리소스를 삭제하는 것을 방지하는 데 사용됩니다.
여러 Discovery Service를 실행할 때는 같은 클라우드 리소스를 모니터링하는 경우 각 서비스가 동일한 discovery_group
값을 사용하도록 구성되어야 하며, 서로 다른 클라우드 리소스를 모니터링하는 경우에는 서로 다른 값을 가져야 합니다.
같은 Teleport 클러스터 내에서 다양한 구성을 혼합하여 실행하는 것이 가능하므로 일부 Discovery Service는 동일한 클라우드 리소스를 모니터링하도록 구성할 수 있으며 다른 서비스는 서로 다른 리소스를 모니터링할 수 있습니다. 예를 들어, 두 개의 서로 다른 클라우드 계정에서 데이터를 분석하는 4-agent 고가용성 구성은 다음과 같이 설정됩니다.
- Production 계정에서 데이터를 폴링하는
discovery_group: "prod"
로 구성된 2개의 Discovery Service. - Staging 계정에서 데이터를 폴링하는
discovery_group: "staging"
로 구성된 2개의 Discovery Service.
version: v3
teleport:
join_params:
token_name: "/tmp/token"
method: token
proxy_server: teleport.example.com:443
auth_service:
enabled: off
proxy_service:
enabled: off
ssh_service:
enabled: off
discovery_service:
enabled: "yes"
discovery_group: "aks-prod"
azure:
- types: ["aks"]
regions: ["*"]
subscriptions: ["*"]
resource_groups: ["*"]
tags:
"env": "prod"
kubernetes_service:
enabled: "yes"
resources:
- labels:
"env": "prod" # 앞서 지정한 쿠버네티스 클러스터 레이블과 일치
이 구성을 추가한 후, 텔레포트를 시작하십시오. Azure 섹션에 지정된 태그와 지역 에 맞는 AKS 클러스터가 자동으로 텔레포트 클러스터에 추가됩니다.
문제 해결
Discovery Service 문제 해결
먼저, 발견된 Kubernetes cluster가 있는지 확인하세요. 이렇게 하려면 tctl get kube_cluster
명령을 사용하여 예상되는 Kubernetes cluster가 이미 Teleport 클러스터에 등록되었는지 확인할 수 있습니다.
목록에 일부 Kubernetes cluster가 나타나지 않으면, Discovery Service 선택기 레이블이 누락된 Kubernetes cluster 태그와 일치하는지 확인하거나 Discovery Service 로그에서 권한 오류를 확인하세요.
Discovery Service가 올바른 AWS 계정의 자격 증명으로 실행되고 있는지 확인하세요. 다른 AWS 계정에서 리소스를 발견할 수 있지만, 그럴 경우 다른 AWS 계정에서 역할을 맡도록 구성되어야 합니다.
한 개 이상의 Discovery Service가 실행되고 있는지 확인하세요:
tctl inventory status --connected
여러 개의 Discovery Service를 실행하는 경우, 각 서비스가 동일한 클라우드 Kubernetes cluster를 감시하는 경우는 동일한 discovery_group
값으로 구성되어야 하며, 다른 클라우드 Kubernetes cluster를 감시하는 경우는 서로 다른 값으로 구성되어야 합니다.
이것이 올바르게 구성되지 않으면, 일반적인 증상은 kube_cluster
리소스가 Teleport 클러스터의 레지스트리에서 간헐적으로 삭제되는 것입니다.
Kubernetes 서비스 문제 해결
tctl get kube_cluster
명령이 발견된 클러스터를 반환하지만
tctl kube ls
명령에 포함되지 않는 경우,
kubernetes_service.resources
섹션이 올바르게 설정되었는지 확인하세요.
kubernetes_service:
enabled: "yes"
resources:
- labels:
"env": "prod"
섹션이 올바르게 구성되었지만 클러스터가 여전히 나타나지 않거나 인증 오류가 반환되는 경우, 대상 클러스터에서 권한이 올바르게 구성되었는지 또는 Teleport에서 Kubernetes 클러스터를 나열할 수 있는 올바른 권한이 있는지 확인하세요.