SPIFFE 연합 | Teleport 공식 기술 문서 한국판 by 인포그랩

SPIFFE 연합

디자인 파트너십

우리는 Teleport Workload Identity의 미래를 함께 만들어 나갈 디자인 파트너를 적극적으로 찾고 있으며, 귀하의 피드백을 듣고 싶습니다.

연합은 Teleport Workload Identity 신뢰 도메인과 다른 신뢰 도메인 간의 관계를 설정할 수 있게 하여, 두 신뢰 도메인 내의 작업 부하가 서로의 신원을 검증할 수 있도록 합니다. 이를 통해 서로 다른 환경이나 서로 다른 조직 내의 작업 부하가 안전하게 통신할 수 있습니다.

SPIFFE는 서로 다른 구현에 의해 관리되는 신뢰 도메인이 서로 연합할 수 있도록 하는 연합 표준을 설정합니다. 예를 들어, Teleport Workload Identity가 관리하는 신뢰 도메인은 SPIRE가 관리하는 신뢰 도메인과 연합할 수 있습니다.

SPIFFE 연합 프로세스는 신뢰 도메인 간의 신뢰 번들을 교환하는 데 의존합니다. 이 신뢰 번들은 신원을 검증하는 데 필요한 신뢰 도메인 발급자의 인증서와 공용 키를 포함합니다.

연합 관계는 "한 방향"으로, 즉 한 신뢰 도메인의 작업 부하가 다른 신뢰 도메인의 작업 부하의 신원을 검증할 수 있지만, 다른 신뢰 도메인의 작업 부하는 첫 번째 신뢰 도메인의 작업 부하의 신원을 검증할 수 없습니다. 따라서 일반적으로 두 방향으로 연합 관계를 설정하는 것이 일반적입니다.

SPIFFE 연합 지원은 Teleport 버전 16.3.0에서 도입되었습니다. Teleport Auth 서비스와 tbot 에이전트 모두 최소한 이 버전에서 실행되어야 합니다.

Teleport Enterprise 필요

Teleport Workload Identity의 연합 기능을 사용하려면 유효한 Teleport Enterprise 라이센스가 필요합니다.

Teleport Workload Identity로의 연합

이 섹션에서는 다른 신뢰 도메인이 Teleport Workload Identity 호스팅 신뢰 도메인을 신뢰하도록 구성하는 방법을 설명합니다.

신뢰 도메인이 Teleport Workload Identity를 신뢰하도록 구성하기 위해서는 신뢰 도메인의 제어 평면이 Teleport 프록시 서비스에서 노출된 SPIFFE 번들 엔드포인트에 접근할 수 있어야 합니다.

Teleport Workload Identity SPIFFE 번들 엔드포인트는 SPIFFE 연합 사양에 정의된 "https_web" 프로필을 구현합니다. 이는 엔드포인트가 Teleport 프록시에 대해 구성된 표준 웹 TLS 인증서를 사용하여 제공됨을 의미합니다.

SPIFFE 번들 엔드포인트는 Teleport 프록시 서비스의 경로 /webapi/spiffe/bundle.json 에서 노출됩니다.

Teleport Workload Identity로부터의 연합

이 섹션에서는 Teleport Workload Identity 호스팅 신뢰 도메인이 다른 신뢰 도메인을 신뢰하도록 구성하는 방법을 설명합니다.

Teleport Workload Identity는 "https_web" 프로필을 준수하는 SPIFFE 번들 엔드포인트를 제공하는 신뢰 도메인과의 연합만 지원합니다.

spiffe_federation 리소스는 Teleport Workload Identity 신뢰 도메인과 원격 신뢰 도메인 간의 신뢰 관계를 구성합니다.

예를 들어, https://example.com/spiffe/bundle.json 에 SPIFFE 번들 엔드포인트를 가진 example.com 이라는 신뢰 도메인과 연합하려면 다음과 같이 spiffe_federation 리소스를 생성해야 합니다:

kind: spiffe_federation
version: v1
metadata:
  name: example.com
spec:
  bundle_source:
    https_web:
      bundle_endpoint_url: https://example.com/spiffe/bundle.json

백그라운드 프로세스는 원격 신뢰 도메인이 제공한 새로 고침 힌트에 따라 신뢰 번들을 주기적으로 가져올 것입니다.

tctl CLI를 사용하여 연합 관계의 상태를 확인할 수 있습니다:

tctl get spiffe_federation/example.com

이 명령은 마지막으로 가져온 번들, 가져온 시간 및 다음 가져오기가 예정된 시간을 보여줍니다.

리소스가 생성되어 성공적으로 동기화되면, tbot 은 작업 부하를 통해 연합 신뢰 번들을 제공하기 시작할 것입니다.

다음 단계

Workload Identity 개요: Teleport Workload Identity에 대한 개요.
모범 사례: 프로덕션에서 Workload Identity를 사용하는 모범 사례.
모든 사용 가능한 구성 옵션을 탐색하려면 구성 참조를 읽어보십시오.
SPIFFE Federation의 기술적 세부 사항을 이해하려면 SPIFFE Federation 사양을 읽어보십시오.

Teleport 원문 보기

인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!