이 가이드에서는 CircleCI 워크플로 내에서 실행될 머신 ID의 에이전트인 tbot을 구성합니다. 이 봇은 long-lived secrets의 필요성을 제거하기 위해 circleci 위임 가입 방법을 사용하도록 구성됩니다.

사전 요구 사항

• 실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.

• tctl 관리 도구와 tsh 클라이언트 도구.

  tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

• 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:

  tsh login --proxy=teleport.example.com --user=email@example.com
  tctl status
  클러스터  teleport.example.com
  버전  16.2.0
  CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

  클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
• 푸시할 수 있는 Git 리포지토리와 연결된 CircleCI 프로젝트가 필요합니다.

1단계/5. CircleCI 구성하기

CircleCI 워크플로가 귀하의 Teleport 클러스터에 연결할 수 있도록 규칙을 구성하려면, CircleCI 조직의 ID를 확인하고 CircleCI 컨텍스트를 생성해야 합니다.

조직 ID 찾기

CircleCI를 열고 네비게이션 바에서 "조직 설정"으로 이동합니다. "개요"라는 제목의 인터페이스와 "조직 ID"라는 섹션이 표시됩니다. 이 값을 적어두고 아래의 구성 예에서 $ORGANIZATION_ID를 이 값으로 대체합니다.

컨텍스트 생성하기

CircleCI에는 컨텍스트라는 조직 수준 개념이 있으며, 이를 통해 워크플로 작업에 노출되어야 할 일련의 비밀을 구성할 수 있습니다. CircleCI를 구성하여 컨텍스트와 관련된 작업을 트리거할 수 있는 사용자를 제어할 수 있습니다.

워크플로 작업에 할당된 컨텍스트는 CircleCI가 작업을 위해 생성하는 ID 토큰에도 인코딩됩니다. 이것은 Teleport가 어떤 CircleCI 작업이 Teleport 클러스터에 접근할 수 있어야 하는지를 결정하는 데 이상적인 방법입니다.

이 예제에서는 teleport-access라는 이름의 CircleCI 컨텍스트를 생성합니다. 그런 다음 이 컨텍스트에 귀하의 Teleport 클러스터에 대한 접근 권한을 부여합니다.

CircleCI에서 "조직 설정"을 열고 "컨텍스트"로 이동하여 "Create Context"를 클릭합니다. 생성하고자 하는 컨텍스트의 이름으로 teleport-access를 제공하십시오. 이 값을 귀하의 조직에 더 의미 있는 문자열로 대체할 수 있지만, 이 가이드의 이후 단계에서는 반드시 teleport-access를 귀하의 값으로 대체해야 합니다.

방금 생성한 컨텍스트를 선택합니다. 이제 컨텍스트를 구성할 수 있는 페이지로 이동합니다. Teleport를 구성할 때 사용할 컨텍스트의 ID를 결정하려면, 컨텍스트 설정 페이지의 URL을 찾습니다. 이 URL은 다음과 유사한 형식을 가집니다:

https://app.circleci.com/settings/organization/github/gravitational/contexts/00000000-0000-0000-0000-000000000000

이 경우, 컨텍스트 ID는: 00000000-0000-0000-0000-000000000000입니다.

이 값을 적어두고 아래의 구성 예에서 $CONTEXT_ID를 이 값으로 대체합니다.

2단계/5. 머신 ID 봇 생성하기

다음으로, 봇을 생성해야 합니다. 봇은 기계 또는 기계 그룹에 대한 Teleport 아이덴티티입니다. 사용자와 마찬가지로, 봇은 액세스할 수 있는 내용을 정의하는 일련의 역할과 특성을 가지고 있습니다.

bot.yaml을 생성하세요:

kind: bot
version: v1
metadata:
  # name은 클러스터 내에서 봇의 고유 식별자입니다.
  name: example
spec:
  # roles는 봇에 부여할 역할의 목록입니다. 여기에 어떤 역할을 지정해야 할지 모르는 경우 걱정하지 마세요.
  # Access Guides가 이미 생성된 봇에 역할을 생성하고 할당하는 방법을 안내해 드립니다.
  roles: []

example을 봇에 대한 고유하고 설명적인 이름으로 교체하는 것을 잊지 마세요.

이 파일을 적용하려면 tctl을 사용하세요:

tctl create bot.yaml

3단계/5. CircleCI용 가입 토큰 생성하기

CircleCI 워크플로가 귀하의 Teleport 클러스터와 인증할 수 있도록 하려면, 먼저 가입 토큰을 생성해야 합니다. 이 토큰은 Auth Server가 봇이나 노드의 가입 허용 여부를 결정하는 기준을 설정합니다.

bot-token.yaml이라는 이름의 파일을 생성하고, $ORGANIZATION_ID와 $CONTEXT_ID를 단계 1에서 얻은 값으로 교체하십시오.

kind: token
version: v2
metadata:
  name: example-bot
spec:
  roles: [Bot]
  join_method: circleci
  bot_name: example
  circleci:
    organization_id: $ORGANIZATION_ID
    # allow는 Auth Server가 `tbot`의 가입 허용 여부를 결정하는 규칙을 설정합니다.
    allow:
    - context_id: $CONTEXT_ID

토큰 리소스 필드를 좀 더 자세히 살펴보겠습니다:

• metadata.name은 토큰의 이름을 정의합니다. 이 값은 나중에 구성의 다른 부분에서 사용해야 하므로 주의하십시오.
• metadata.expires는 가입 토큰이 만료되는 날짜를 정의합니다. 이 예시에서는 2100년으로 설정되어 있습니다.
• spec.bot_name은 이 토큰이 접근을 부여할 머신 ID 봇의 이름입니다. 이 값도 나중에 다른 부분에서 사용해야 하므로 기억하십시오.
• spec.roles는 이 토큰이 접근할 수 있는 역할을 정의합니다. [Bot] 값은 이 토큰이 머신 ID 봇에 대한 접근을 허용한다는 의미입니다.
• spec.join_method는 이 토큰이 적용되는 가입 방법을 정의합니다. 이 가이드에서는 CircleCI에만 초점을 맞추므로 circleci로 설정합니다.
• spec.circleci.allow는 어떤 CircleCI 실행이 이 토큰을 사용하여 인증할 수 있는지에 대한 규칙을 설정하는 데 사용됩니다.

tctl을 사용하여 이를 귀하의 Teleport 클러스터에 적용합니다:

tctl create -f bot-token.yaml

4단계/5. CircleCI 워크플로 구성하기

봇과 가입 토큰이 생성되었으므로 이제 Teleport 클러스터에 연결할 수 있는 CircleCI 워크플로를 구성할 수 있습니다.

tbot을 구성하려면 YAML 파일을 사용합니다. 이 예제에서는 이를 리포지토리 내에 저장하겠지만, CI 파이프라인 자체에서 생성되거나 생성될 수 있습니다.

리포지토리 내에 tbot.yaml을 생성합니다:

version: v2
proxy_server: example.teleport.sh:443
onboarding:
  join_method: circleci
  token: example-bot
oneshot: true
storage:
  type: memory
# outputs는 액세스 가이드 완료 중에 채워질 것입니다.
outputs: []

다음으로 교체하십시오:

• example.teleport.sh:443를 귀하의 Teleport Proxy 또는 Auth Server의 주소로 교체합니다. Teleport Proxy의 주소를 사용하는 것이 좋습니다.
• example-bot을 2단계에서 생성한 토큰의 이름으로 교체합니다.

이제 CircleCI 파이프라인을 정의할 수 있습니다. 파이프라인이 tbot을 사용하려면 환경 내에서 제공되어야 합니다. 이 예제에서는 CI 단계의 일환으로 tbot을 다운로드하는 방법을 보여드리겠지만, 프로덕션 구현에서는 이 이진 파일을 포함하는 도커 이미지를 빌드하여 Teleport CDN에 의존하지 않도록 할 수 있습니다.

Git 리포지토리를 열고 .circleci라는 이름의 디렉토리를 생성합니다. 그런 다음 config.yml이라는 이름의 파일을 열고 다음 구성을 삽입합니다:

# 참조: https://circleci.com/docs/2.0/configuration-reference
version: 2.1
jobs:
  write-run-log:
    docker:
      - image: cimg/base:stable
    steps:
      - checkout
      - run:
          name: "Install Teleport"
          command: |
            cd /tmp
            curl -O https://cdn.teleport.dev/teleport-v16.2.0-linux-amd64-bin.tar.gz
            tar -xvf teleport-v16.2.0-linux-amd64-bin.tar.gz
            sudo ./teleport/install
      - run:
          name: "Run Machine ID"
          command: |
            export TELEPORT_ANONYMOUS_TELEMETRY=1
            tbot start -c tbot.yaml
workflows:
  write-run-log:
    jobs:
      - write-run-log:
          context:
            - teleport-access

TELEPORT_ANONYMOUS_TELEMETRY는 익명 사용량 원격 측정을 제출할 수 있도록 합니다. 이는 tbot의 향후 개발 방향을 계획하는 데 도움이 됩니다. 이를 생략하여 비활성화할 수 있습니다.

이 두 구성 파일을 리포지토리에 추가하고, 커밋하고 푸시하십시오.

CircleCI를 열고 작업 상태를 확인하고, 완료될 때까지 기다리며 오류가 발생하지 않는지 확인합니다.

보안 영향 및 위험에 대한 주의점

tbot start가 작업에서 사용되면, 그 작업의 모든 후속 단계는 tbot이 생성한 자격 증명에 접근할 수 있습니다. 이 자격 증명을 접근할 수 있는 단계의 수를 줄이기 위해 워크플로를 여러 작업으로 나누는 것을 추천합니다.

CircleCI 봇에 할당한 역할이 CI/CD가 상호 작용해야 하는 Teleport 클러스터의 리소스에만 접근할 수 있도록 확인하십시오.

5단계/5. 출력 구성하기

당신은 이제 tbot의 기본 설정을 완료했습니다. 현재 이 시점에서 tbot은 Teleport 클러스터에 자신을 식별하고 자체 자격 증명을 갱신하지만 다른 애플리케이션에서 사용할 수 있는 자격 증명을 출력하지는 않습니다.

액세스 가이드 중 하나를 따라 귀하의 액세스 요구 사항을 충족하는 출력을 구성하세요.

추가 단계

• 액세스 가이드를 따라 귀하의 환경에 맞게 tbot 구성을 마무리하십시오.
• 구성 참조를 읽어 모든 사용 가능한 구성 옵션을 탐색하십시오.
• CircleCI에 대한 더 많은 정보는 그들의 문서를 읽어보십시오.
• TELEPORT_ANONYMOUS_TELEMETRY에 대한 더 많은 정보.