Teleport를 사용하여 Kubernetes 클러스터를 등록할 수 있지만, 해당 클러스터에서 Teleport Kubernetes 서비스를 실행하는 것 외에도 클러스터 외부의 Linux 호스트에서 Teleport Kubernetes 서비스를 실행할 수 있습니다. 이것은 Teleport 배포를 관리하려는 Kubernetes 클러스터와 분리하고 싶을 때 유용합니다.

이 설정에서 Teleport Kubernetes 서비스는 선택한 Kubernetes 클러스터의 API 서버에 인증하기 위해 kubeconfig 파일을 사용합니다.

사전 요구 사항

• 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

• tctl 관리자 도구와 tsh 클라이언트 도구.

  tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

• 액세스하려는 Kubernetes 클러스터
• Teleport Kubernetes 서비스를 실행하기 위해 자체 인프라에 배포된 Linux 호스트. 이는 Kubernetes 클러스터 외부에서도 실행할 수 있습니다.
• 작업 공간에 설치된 kubectl 커맨드 라인 도구
• 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:

  tsh login --proxy=teleport.example.com --user=email@example.com
  tctl status
  클러스터  teleport.example.com
  버전  17.0.0-dev
  CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

  클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
  자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1/4단계. kubeconfig 파일 생성

Teleport Kubernetes 서비스는 Kubernetes 클러스터에 인증하기 위해 kubeconfig 파일을 사용합니다. 이 섹션에서는 Teleport Kubernetes 서비스를 구성하기 위해 사용할 kubeconfig 파일을 생성할 것입니다.

컨텍스트가 올바른지 확인

먼저, 등록할 Kubernetes 클러스터를 가리키도록 로컬 kubectl 명령을 구성합니다. 다음 명령을 사용하여 올바른 클러스터가 선택되었는지 확인할 수 있습니다:

kubectl config get-contexts

다음 명령을 사용하여 CONTEXT_NAME 에 할당된 클러스터로 전환합니다:

e.g., my-context
CONTEXT_NAME=context-name
kubectl config use-context ${CONTEXT_NAME?}

스크립트 실행

작업 공간에서 Teleport의 get-kubeconfig.sh 스크립트를 다운로드하여 kubeconfig 파일을 생성하는 데 사용할 수 있습니다:

curl -OL \https://raw.githubusercontent.com/gravitational/teleport/v17.0.0-dev/examples/k8s-auth/get-kubeconfig.sh

get-kubeconfig.sh 는 Kubernetes 포드를 가져오고 사용자, 그룹 및 기타 서비스 계정으로 가장할 수 있는 Teleport Kubernetes 서비스용 서비스 계정을 생성합니다. Teleport Kubernetes 서비스는 이 서비스 계정을 사용하여 Kubernetes 클러스터 내 리소스에 대한 액세스를 관리합니다. 스크립트는 또한 서비스 계정 자격 증명을 저장할 Kubernetes Secret 이 클러스터에 존재하는지 확인합니다.

get-kubeconfig.sh 는 배포하는 리소스에 대해 teleport 라는 네임스페이스를 생성하지만, 스크립트를 실행하는 셸에 TELEPORT_NAMESPACE 환경 변수를 할당함으로써 다른 이름을 선택할 수 있습니다.

리소스를 생성한 후, get-kubeconfig.sh 는 스크립트를 실행한 디렉터리에 kubeconfig 라는 새 kubeconfig 파일을 작성합니다.

get-kubeconfig.sh 스크립트를 실행합니다:

bash get-kubeconfig.sh

스크립트가 성공하면 다음 메시지가 표시됩니다:

완료!

kubeconfig 파일을 Teleport Kubernetes 서비스를 실행하는 호스트로 이동합니다. kubeconfig 파일이 /var/lib/teleport/kubeconfig 에 존재한다고 가정합니다.

2/4단계. Teleport Kubernetes 서비스 설정

이 단계에서는 Teleport Kubernetes 서비스를 설치하고 Kubernetes 클러스터에 접근하기 위해 생성한 kubeconfig 파일을 사용하도록 구성합니다.

조인 토큰 가져오기

조인 토큰을 생성하여 Teleport 클러스터와 새 Kubernetes 서비스 인스턴스 간의 신뢰를 설정합니다:

tctl tokens add --type=kube --format=text --ttl=1h
abcd123-insecure-do-not-use-this

Teleport Kubernetes 서비스를 실행하는 호스트에서 /tmp/token 이라는 파일을 생성하여 오직 토큰만 포함되도록 합니다:

echo join-token | sudo tee /tmp/token

Teleport Kubernetes 서비스 설치

Teleport Kubernetes 서비스를 설치할 호스트에서 다음 명령을 실행합니다:

Linux 서버에 Teleport 설치하기:

1. Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:

   에디션	값
   Teleport Enterprise Cloud	cloud
   Teleport Enterprise (자가 호스팅)	enterprise
   Teleport Community Edition	oss

2. 설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:

   TELEPORT_DOMAIN=example.teleport.com
   TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

   그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:

   TELEPORT_DOMAIN=example.teleport.com
   TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

3. Linux 서버에 Teleport를 설치합니다:

   curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition

   설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Teleport Kubernetes 서비스 구성

Teleport Kubernetes 서비스를 실행할 호스트에서 /etc/teleport.yaml 파일을 다음 내용으로 생성합니다:

version: v3
teleport:
  join_params:
    token_name: "/tmp/token"
    method: token
  proxy_server: teleport.example.com:443
auth_service:
  enabled: off
proxy_service:
  enabled: off
ssh_service:
  enabled: off
kubernetes_service:
  enabled: "yes"
  kubeconfig_file: "/var/lib/teleport/kubeconfig"
  labels:
    "region": "us-east1"

/etc/teleport.yaml 파일을 편집하여 teleport.example.com:443 을 Teleport 프록시 서비스 또는 Teleport Cloud 텐트의 호스트와 포트로 대체합니다. 예를 들어, mytenant.teleport.sh:443 과 같이 합니다.

Teleport Kubernetes 서비스 시작

호스트가 부팅될 때 Teleport Kubernetes 서비스가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 Teleport Kubernetes 서비스를 설치한 방법에 따라 다릅니다.

sudo systemctl enable teleport
sudo systemctl start teleport

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

systemctl status teleport 로 Teleport Kubernetes 서비스의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.

3/4단계. Teleport 사용자에게 액세스 권한 부여

Teleport 사용자가 Kubernetes 클러스터의 리소스에 접근할 수 있도록 활성화하여 이후 이 안내서에서 클러스터에 연결할 수 있도록 합니다.

Kubernetes 클러스터에 Teleport를 통해 인증하기 위해, 여러분의 Teleport 사용자 역할은 최소한 하나의 Kubernetes 사용자 또는 그룹에 대한 접근을 허용해야 합니다.

1. 현재 사용자의 Teleport 역할 목록을 가져옵니다. 아래 예제는 JSON 파싱을 위해 jq 유틸리티가 필요합니다:

   CURRENT_ROLES=$(tsh status -f json | jq -r '.active.roles | join ("\n")')

2. 역할이 허용하는 Kubernetes 그룹을 가져옵니다:

   echo "$CURRENT_ROLES" | xargs -I{} tctl get roles/{} --format json | \  jq '.[0].spec.allow.kubernetes_groups[]?'

3. 역할이 허용하는 Kubernetes 사용자를 가져옵니다:

   echo "$CURRENT_ROLES" | xargs -I{} tctl get roles/{} --format json | \  jq '.[0].spec.allow.kubernetes_users[]?'

4. 이전 두 명령의 출력 중 하나라도 비어있지 않으면, 여러분의 사용자는 최소한 하나의 Kubernetes 사용자 또는 그룹에 접근할 수 있으므로 다음 단계로 진행할 수 있습니다.

5. 두 목록이 모두 비어 있다면, 클러스터 내 Kubernetes 리소스를 볼 수 있는 Teleport 역할을 이 가이드를 위해 생성합니다.

   kube-access.yaml 이라는 파일을 만들고 다음 내용을 추가합니다:

   kind: role
   metadata:
     name: kube-access
   version: v7
   spec:
     allow:
       kubernetes_labels:
         "*": "*"
       kubernetes_resources:
         - kind: "*"
           namespace: "*"
           name: "*"
           verbs: ["*"]
       kubernetes_groups:
         - viewers
     deny: {}
   

6. 변경 사항을 적용합니다:

   tctl create -f kube-access.yaml

7. kube-access 역할을 Teleport 사용자에게 할당하려면, 인증 제공자에 맞는 적절한 명령어를 실행하십시오:

   • 로컬 사용자
   • GitHub
   • SAML
   • OIDC

   1. 로컬 사용자의 역할을 쉼표로 구분된 목록으로 가져옵니다:

      ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')

   2. 새로운 역할을 추가하기 위해 로컬 사용자를 수정합니다:

      tctl users update $(tsh status -f json | jq -r '.active.username') \  --set-roles "${ROLES?},kube-access"

   3. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

   1. 텍스트 편집기에서 github 인증 커넥터를 엽니다:

      tctl edit github/github

   2. github 커넥터를 수정하여 teams_to_roles 섹션에 kube-access 을 추가합니다.

      이 역할에 매핑해야 하는 팀은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 팀은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 팀이어야 합니다.

      예시는 다음과 같습니다:

        teams_to_roles:
          - organization: octocats
            team: admins
            roles:
              - access
      +       - kube-access
      

   3. 파일을 편집하고 저장하여 변경 사항을 적용합니다.

   4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

   1. saml 구성 리소스를 가져옵니다:

      tctl get --with-secrets saml/mysaml > saml.yaml

      --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 삭제해야 합니다.

   2. saml.yaml 을 수정하여 attributes_to_roles 섹션에 kube-access 을 추가합니다.

      이 역할에 매핑해야 하는 속성은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

      예시는 다음과 같습니다:

        attributes_to_roles:
          - name: "groups"
            value: "my-group"
            roles:
              - access
      +       - kube-access
      

   3. 변경 사항을 적용합니다:

      tctl create -f saml.yaml

   4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

   1. oidc 구성 리소스를 가져옵니다:

      tctl get oidc/myoidc --with-secrets > oidc.yaml

      --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 삭제해야 합니다.

   2. oidc.yaml 을 수정하여 claims_to_roles 섹션에 kube-access 을 추가합니다.

      이 역할에 매핑해야 하는 클레임은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

      예시는 다음과 같습니다:

        claims_to_roles:
          - name: "groups"
            value: "my-group"
            roles:
              - access
      +       - kube-access
      

   3. 변경 사항을 적용합니다:

      tctl create -f oidc.yaml

   4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

8. Kubernetes 클러스터 내에서 viewers 그룹이 기본 제공 view ClusterRole을 갖도록 구성합니다. 여러분의 Teleport 사용자가 kube-access 역할을 맡고 Kubernetes API 서버에 요청을 보낼 때, Teleport Kubernetes 서비스가 viewers 그룹으로 가장하여 요청을 프록시합니다.

   viewers-bind.yaml 이라는 파일을 만들고 다음 내용을 추가합니다. 이는 여러분이 Teleport 사용자가 접근할 수 있도록 활성화한 viewers 그룹과 기본 제공 view ClusterRole을 바인딩합니다:

   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRoleBinding
   metadata:
     name: viewers-crb
   subjects:
     - kind: Group
       # "kube-access" 역할을 통해 위에서 할당한 kubernetes_groups에 해당하는 "viewers" 그룹을 바인딩
       name: viewers
       apiGroup: rbac.authorization.k8s.io
   roleRef:
     kind: ClusterRole
     # "view"는 리소스에 대한 읽기 전용 접근을 부여하는 기본 제공 ClusterRole입니다
     # 참조: https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles
     name: view
     apiGroup: rbac.authorization.k8s.io
   

9. kubectl 로 ClusterRoleBinding 을 적용합니다:

   kubectl apply -f viewers-bind.yaml

4/4단계. Kubernetes 클러스터에 접근

위 구성으로 Teleport가 시작된 후 모든 새로운 클러스터를 볼 수 있어야 합니다:

tsh kube ls
Kube Cluster Name                       Labels           Selected--------------------------------------- ------           --------my-cluster                              region=us-east-1

클러스터에 접근하기 위해 다음 명령을 실행합니다. my-cluster 를 접근하고자 하는 클러스터의 이름으로 대체합니다:

tsh kube login my-cluster
"Kubernetes 클러스터에 'my-cluster'에 로그인했습니다. 연결을 테스트하려면 'kubectl version'을 시도해 보십시오."