인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
Teleport FAQ
이 페이지에는 Teleport 설정, 관리 및 사용에 관한 자주 묻는 질문에 대한 답변이 포함되어 있습니다. Teleport에 처음 접하는 경우 시작 가이드를 읽어보세요.
오늘날 프로덕션에서 Teleport를 사용할 수 있나요?
Teleport는 Fortune 500 기업의 수천 개 호스트가 있는 서버 클러스터에 배포되었습니다. 국가에서 인정받는 기술 보안 회사의 여러 보안 감사도 거쳤으므로 Teleport의 보안 관점에서 안정성에 대해 편안하게 느끼고 있습니다.
방화벽 뒤에 있는 노드에 연결할 수 있나요?
예, Teleport는 기본적으로 리버스 SSH 터널을 지원합니다. 방화벽 뒤 클러스터에서의 설정 방법은 신뢰할 수 있는 클러스터 구성을 참조하세요.
Teleport의 커뮤니티 에디션과 엔터프라이즈는 어떻게 다르나요?
Teleport는 두 가지 에디션을 제공합니다:
- Teleport Enterprise
- Teleport Community Edition
Teleport의 에디션 간 차이점을 자세히 설명한 내용은 아래에 있습니다.
접근 제어
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 이중 인증 | ✖ | ✔ | ✔ |
| 하드웨어 키 지원 | ✖ | ✔ | ✔ |
| 중재 세션 | ✖ | ✔ | ✔ |
| 역할 기반 접근 제어 | ✔ | ✔ | ✔ |
| 싱글 사인온 | GitHub | GitHub, Google Workspace, OIDC, SAML, Teleport | GitHub, Google Workspace, OIDC, SAML, Teleport |
감사 로깅 및 세션 녹화
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 강화된 세션 녹화 | ✔ | ✔ | ✔ |
| 녹화 프록시 모드 | ✔ | ✔ | ✖ |
| 재생이 가능한 세션 녹화 | ✔ | ✔ | ✔ |
| 구조화된 감사 로그 | ✔ | ✔ | ✔ |
준수
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| FedRAMP 통제 | ✖ | ✔ | ✖ |
| FedRAMP High을 위한 FIPS 준수 바이너리 제공 | ✖ | ✔ | ✖ |
| IP 기반 제한 | ✖ | ✔ | ✔ |
| PCI DSS 기능 | 제한 | ✔ | ✔ |
| SOC 2 기능 | 제한 | ✔ | ✔ |
아이덴티티
텔레포트 엔터프라이즈의 추가 기능으로 제공
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 접근 모니터링 및 대응 | ✖ | ✔ | ✔ |
| 접근 목록 및 접근 검토 | ✖ | ✔ | ✔ |
| 디바이스 신뢰 | ✖ | ✔ | ✔ |
| 엔드포인트 관리: Jamf | ✖ | ✔ | ✔ |
| JIT 접근 요청 | 제한 | ✔ | ✔ |
| 세션 및 아이덴티티 잠금 | ✖ | ✔ | ✔ |
인프라 접근
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| OpenSSH 서버와의 에이전트 없는 통합 | ✔ | ✔ | ✔ |
| 애플리케이션 접근 | ✔ | ✔ | ✔ |
| 데이터베이스 접근 | ✔ | ✔ | ✔ |
| 데스크톱 접근 | ✔ | ✔ | ✔ |
| Kubernetes 접근 | ✔ | ✔ | ✔ |
| 기계 ID | ✔ | ✔ | ✔ |
| 서버 접근 | ✔ | ✔ | ✔ |
라이센스 및 사용 관리
| 커뮤니티 에디션 | 기업 | 클라우드 | |
|---|---|---|---|
| 연간 또는 다년 계약, 볼륨 할인 | ✖ | ✔ | ✔ |
| 익명 사용 추적 | 옵트인 | ✔ | ✔ |
| 라이센스 | 상업적 | 상업적 | 상업적 |
운영
| 커뮤니티 에디션 | 기업 | 클라우드 | |
|---|---|---|---|
| 인증 서비스 및 프록시 서비스 관리 | 셀프 호스팅 | 셀프 호스팅 | 완전 관리형 |
| 백엔드 지원 | 세션 기록을 위한 어떤 S3 호환 스토리지든지, 커스텀 감사 로그 저장을 위한 많은 관리형 백엔드. | 세션 기록을 위한 어떤 S3 호환 스토리지든지, 커스텀 감사 로그 저장을 위한 많은 관리형 백엔드 | 모든 데이터는 DynamoDB와 S3에 저장되며 서버 사이드 암호화가 적용됩니다. |
| 데이터 저장 위치 | 세계 어디에서나 대부분의 관리형 클라우드 백엔드에 데이터를 저장할 수 있습니다. | 세계 어디에서나 대부분의 관리형 클라우드 백엔드에 데이터를 저장할 수 있습니다. | 데이터는 Teleport의 AWS 인프라에 저장되며 감사 로그/세션은 고객의 AWS 계정에 선택적으로 저장됩니다. 프록시 서비스 인스턴스는 낮은 대기 시간을 위해 전 세계에 배포됩니다. |
| 하드웨어 보안 모듈 지원으로 휴지 상태에서 암호화 | ✖ | ✔ | ✖ |
| 프록시 서비스 도메인 이름 | 커스텀 | 커스텀 | teleport.sh 의 서브도메인 |
| 버전 지원 | 설치 및 다운로드할 수 있는 모든 지원 릴리스. | 설치 및 다운로드할 수 있는 모든 지원 릴리스. | 안정성을 위해 2-3주 지연된 최신 안정 릴리스를 배포합니다. |
지원
| 커뮤니티 에디션 | 기업 | 클라우드 | |
|---|---|---|---|
| 지원 | 커뮤니티 | 24x7 지원 및 프리미엄 SLA와 계정 관리자 | 24x7 지원 및 프리미엄 SLA와 계정 관리자 |
Teleport 클러스터에 리소스를 연결하기 위해 Teleport Enterprise 또는 Teleport Community Edition 중 어느 것을 사용해야 하나요?
Teleport Enterprise 및 Enterprise Cloud 고객은 에이전트를 위한 teleport 바이너리의 Enterprise 릴리스를 사용해야 합니다. Community Edition 바이너리를 실행하면 특정 기능에 대해 이러한 클러스터 에디션과 호환되지 않을 수 있습니다.
Teleport Enterprise 릴리스가 설치되어 있는지 확인하려면 teleport version 명령을 실행하고 출력에 Enterprise가 포함되어 있는지 확인하세요.
teleport versionTeleport Enterprise v17.0.0-dev go1.22
Teleport Community Edition 클러스터는 Teleport Community Edition 릴리스를 사용해야 합니다. teleport version 명령은 이러한 릴리스를 위한 출력에만 Teleport를 포함합니다.
teleport versionTeleport v17.0.0-dev go1.22
Enterprise 또는 Teleport Community Edition 릴리스에 대한 특정 플랫폼에 설치하는 방법은 설치 가이드를 참조하십시오.
개별 에이전트가 새 클러스터를 만들지 않고도 프록시 서비스에 리버스 터널을 생성할 수 있나요?
예. Teleport 에이전트를 실행할 때 --auth-server 플래그를 사용하여 프록시 서비스 주소를 지정합니다(이는 파일 구성의 public_addr 및 web_listen_addr 가 됩니다). 자세한 내용은 클러스터에 노드 추가를 참조하세요.
노드가 리버스 터널에 단일 포트를 사용할 수 있나요?
예, Teleport는 단일 포트에서 터널 멀티플렉싱을 지원합니다. tunnel_listen_addr 를 proxy_service 구성의 web_listen_addr 주소 설정과 동일한 포트를 사용하도록 설정하세요. Teleport는 해당 구성으로 멀티플렉싱을 자동으로 사용합니다.
Teleport를 에이전트 없는 모드로 배포할 수 있나요?
예. 모든 Teleport 서비스는 에이전트 없는 모드를 지원하며, 이 모드에서는 서비스가 localhost 에서 사용할 수 없는 업스트림 인프라 리소스로 트래픽을 프록시합니다.
에이전트 없는 모드에서 Teleport를 사용하면 SSH 서버, Kubernetes 클러스터, 데스크탑, 데이터베이스 및 내부 애플리케이션에 대한 액세스를 추가 소프트웨어 없이 쉽게 제어할 수 있습니다. 에이전트 없는 모드는 사용자 행동에 대한 깊은 이해를 위한 세션 녹화 및 감사 로그를 지원합니다.
커널 수준 로깅 및 사용자 프로비저닝과 같은 기능이 필요하다면 OpenSSH의 대체재로 Teleport를 권장합니다. Teleport는 OpenSSH 에이전트를 대체하면서 OpenSSH의 기능을 유지하므로 시스템에 에이전트를 추가하지 않고도 더 많은 기능을 제공합니다.
Teleport 클러스터에서 OpenSSH를 사용할 수 있나요?
예, 이 질문은 자주 제기되며 이전 질문과 관련이 있습니다. OpenSSH 가이드를 참조하세요.
하나의 Teleport 노드에서 다른 노드로 파일을 복사할 수 있나요?
예, Teleport는 헤드리스 WebAuthn 인증을 지원하여 Teleport에 로그인하지 않았거나 브라우저에 접근할 수 없는 원격 시스템에서 tsh ssh 또는 tsh scp 와 같은 작업을 수행할 수 있습니다.
Windows에서 tsh 가 매우 느리면 어떻게 해야 하나요?
호스트 머신이 Active Directory 도메인에 가입되어 있는 경우 사용자 조회가 예상보다 오래 걸릴 수 있습니다. 사용자 조회를 수행하기 위해 스캔해야 할 Active Directory 계정의 수가 많아 tsh 가 현재 사용자에 대한 정보를 기다리며 멈출 수 있습니다. 이 문제를 해결하려면 환경 변수를 사용하여 Teleport 사용자에 대한 기본 계정 정보를 설정할 수 있습니다. Windows에서 긴 조회 시간이 발생하는 경우 다음을 수행하세요:
TELEPORT_USER환경 변수를 설정하거나--user플래그를 사용하여 Teleport 사용자 이름을 지정합니다.TELEPORT_LOGIN환경 변수를 설정하거나--login플래그를 사용하여 현재 호스트 사용자 이름을 지정합니다. 이 설정은 다른 사용자로 SSH 세션을 열 경우 덮어쓸 수 있습니다.TELEPORT_HOME환경 변수를 현재 호스트 사용자의 홈 디렉터리 +\.tsh로 설정합니다. 예를 들어, 홈 디렉터리가C:\Users\Me인 경우TELEPORT_HOME을C:\Users\Me\.tsh로 설정합니다.
Windows에서 이러한 환경 변수를 전역적으로 설정하여 tsh 를 실행할 때마다 설정할 필요가 없도록 할 수 있습니다.
어떤 버전의 Teleport가 지원되나요?
Teleport는 약 4개월마다 새로운 주요 버전을 출시하며, 현재 및 이전 두 개의 주요 버전에 대해 보안 핵심 지원을 제공합니다. 우리의 일반적인 릴리스 주기를 감안할 때, 우리는 보통 각 주요 버전을 12개월 동안 지원합니다.
지원되는 버전
다음은 Teleport의 주요 버전과 그 지원 기간입니다:
| 릴리스 | 릴리스 날짜 | EOL | 최소 tsh 버전 |
|---|---|---|---|
| v16.0 | 2024년 6월 14일 | 2025년 6월 | v15.0.0 |
| v15.0 | 2024년 1월 29일 | 2025년 1월 | v14.0.0 |
| v14.0 | 2023년 9월 20일 | 2024년 9월 | v13.0.0 |
버전 호환성
Teleport는 의미 체계 버전 관리(Semantic Versioning)를 사용합니다. 버전 번호는 주 버전, 보조 버전, 패치 버전으로 구성되며, 점으로 구분됩니다. 클러스터 내에서 여러 teleport 바이너리를 실행할 때는 다음 규칙이 적용됩니다:
- 패치 및 보조 버전은 항상 호환됩니다. 예를 들어, 어떤 8.0.1 구성 요소는 어떤 8.0.3 구성 요소와 작동하며, 어떤 8.1.0 구성 요소는 어떤 8.3.0 구성 요소와도 작동합니다.
- 서버는 한 개의 주 버전이 낮은 클라이언트를 지원하지만, 새로운 주 버전의 클라이언트는 지원하지 않습니다. 예를 들어, 8.x.x Proxy Service 인스턴스는 7.x.x 에이전트와 7.x.x
tsh와 호환되지만, 9.x.x 에이전트가 8.x.x Proxy Service 인스턴스와 작동할 것이라고 보장하지 않습니다. 이는 또한 6.x.x에서 8.x.x로 직접 업그레이드하지 않아야 함을 의미합니다. 먼저 7.x.x로 업그레이드해야 합니다. - Proxy Service 인스턴스와 에이전트는 이전 주 버전의 Auth Service 인스턴스를 지원하지 않으며, 기본적으로 이전 Auth Service 인스턴스에 연결할 수 없습니다. 에이전트와 Proxy Service 인스턴스를 시작할 때
--skip-version-check를 전달하여 버전 검사를 무시할 수 있습니다.
웹 UI에서 복사 및 붙여넣기가 지원되나요?
네, 마우스를 사용하여 복사 및 붙여넣기가 가능합니다.
Teleport는 어떤 TCP 포트를 사용하나요?
네트워킹 가이드를 참조해 주십시오.
Teleport는 OIDC, SAML 또는 Active Directory를 통한 인증을 지원하나요?
Teleport는 Teleport의 엔터프라이즈(클라우드) 및 엔터프라이즈(셀프 호스팅) 버전에 대해 이 기능을 제공합니다.
사용자의 역할 집합에 대한 변경 사항이 다음 로그인 시에만 효과가 있는 이유는 무엇인가요?
Teleport 사용자가 할당된 역할은 로그인 시 수신하는 클라이언트 인증서에 포함됩니다. 이 인증서는 만료될 때까지 유효하며, 사용자의 역할 집합이 변경되더라도 사용될 수 있습니다.
새로운 역할 집합으로 새로운 인증서를 얻으려면 사용자는 로그아웃하고 다시 로그인해야 합니다.
Teleport 접근 권한의 취소는 역할을 제거하는 것이 아니라 Teleport의 세션 및 신원 잠금으로 이루어져야 합니다.
Teleport는 SCIM을 통해 사용자 프로비저닝을 지원하나요?
Teleport는 엔터프라이즈(클라우드) 및 엔터프라이즈(셀프 호스팅) 버전의 Teleport에서 호스팅된 Okta 통합을 통해 SCIM 프로비저닝을 지원합니다.
SCIM 지원을 설정하고 구성하는 방법에 대한 자세한 내용은 호스팅된 Okta 통합 가이드를 참조하십시오.
일부 에이전트가 최신이 아니라는 경고가 표시되는 이유는 무엇인가요?
Teleport는 모든 클러스터 구성 요소의 인벤토리를 모니터링하고 그들의 Teleport 버전을 GitHub 페이지의 최신 릴리스와 비교합니다. 구성 요소가 최신 릴리스가 아닌 경우, Teleport는 사용자가 업그레이드하도록 권장하는 클러스터 경고를 생성합니다.
이 검사는 Proxy Service, Auth Service 및 다른 Teleport 서비스를 실행하는 에이전트를 포함하여 모든 클러스터 구성 요소에 대해 수행됩니다.
Teleport가 요구하는 최소 TLS 버전은 무엇인가요?
Teleport는 최소 TLS 버전 1.2를 요구합니다.
이는 애플리케이션과 클라이언트가 Teleport 프로세스와 TLS 연결을 설정하거나 수락할 때, TLS 1.2 이상 프로토콜 버전을 사용해야 함을 의미합니다. Teleport는 TLS 연결이 포함된 모든 작업에서 이 요구 사항을 강제합니다.
사용 가능한 업그레이드에 대한 경고를 무시할 수 있나요?
네, tctl alerts ack 명령을 사용하여 경고를 확인하고 일시적으로 사용자에게 표시되지 않도록 할 수 있습니다. 경고를 확인하려면 해당 ID가 필요합니다. 모든 경고와 그 ID의 목록을 가져오려면 tctl alerts list 명령을 사용할 수 있습니다.
이 명령군에 대한 자세한 정보는 CLI 참조를 참조하십시오.
Teleport이 클라우드로 데이터를 전송하나요?
Teleport의 오픈 소스 에디션은 우리 회사에 어떤 정보도 전송하지 않으며, 인터넷에 연결되지 않은 서버에서도 사용할 수 있습니다.
Teleport의 상용 에디션은 구매한 라이센스에 따라 선택적으로 익명화된 정보를 전송하도록 구성할 수 있습니다. 이 정보는 다음을 포함합니다:
- Teleport 라이센스 식별자;
- 익명화된 클러스터 이름 및 Teleport 인증 서버 호스트 ID;
- 각 Teleport 사용자에 대해, 익명화된 사용자 이름과 프로토콜별 상호작용 수 - Teleport 로그인, SSH 및 Kubernetes exec 세션, 애플리케이션 접근 웹 세션 및 TCP 연결, SSH 포트 전달, Kubernetes API 요청, SFTP 작업.
익명화는 이름과 ID를 HMAC-SHA-256을 통해 전달하여 수행되며, HMAC 키는 Teleport 클러스터가 처음 초기화될 때 무작위로 생성되고 우리와 공유되지 않기 때문에 클러스터에 접근할 수 없는 누군가가 우리가 저장하는 데이터를 재식별하는 것을 불가능하게 만듭니다.
이 데이터를 집계하고 익명화하는 코드는 우리의 GitHub 저장소에서 확인할 수 있습니다.
자세한 내용은 사용량 보고 및 청구 가이드를 참조하세요.
상용 에디션의 Teleport에 대한 질문이 있으면 sales@goteleport.com 으로 문의하세요.
Teleport Connect
앱을 처음 시작할 때, Teleport Connect는 텔레메트리 데이터를 수집하고 전송할 수 있는 권한을 요청합니다.
여기에는 다음과 같은 이벤트 추적이 포함됩니다:
- 클러스터에 로그인
- SSH, 데이터베이스, 애플리케이션 또는 Kubernetes 세션 시작
- SSH 세션 중 파일 전송
- 접근 요청 생성
- 접근 요청 검토
- 접근 요청 수용
로그인 시, 우리는 몇 가지 장치 관련 데이터도 수집합니다:
- 운영 체제 및 버전
- 앱 버전
- 프로세서 아키텍처
추가로, 우리는 직무 역할에 대한 질문을 합니다(응답은 선택 사항입니다).
이벤트 및 수집된 데이터의 전체 목록은 Teleport 소스의 프로토콜 버퍼 메시지로 정의됩니다.
우리는 이러한 이벤트의 세부 사항을 추적하지 않으며 단지 해당 이벤트가 발생했다는 사실만 기록합니다. 각 이벤트에는 클러스터 이름과 사용자 이름이 포함되며, 클러스터의 내부 무작위 UUID를 키로 사용하여 HMAC으로 익명화됩니다. 특정 클러스터나 사용자와 이를 연관짓는 것은 클러스터의 내부 데이터 저장소에 대한 접근 없이는 불가능합니다.
사용 데이터 전송을 원하지 않는 경우 Telemetry 비활성화를 참조하세요.