Infograb logo
에이전트 업데이트 관리

많은 Teleport 리소스가 에이전트리스 모드를 지원하지만, 에이전트 배포는 때때로 더 간단하고 편리합니다. 그러나 대규모 Teleport 배포는 모든 에이전트를 업데이트하는 추가 부담을 만들 수 있습니다.

Teleport는 apt, yum 또는 zypper 패키지 관리자를 사용하는 systemd 기반 Linux 배포판 및 Kubernetes 클러스터에 대해 자동 에이전트 업데이트를 지원합니다.

업데이트 논리 및 실패 모드

업데이트 프로그램은 에이전트 옆에 배포되는 소프트웨어로, 업데이트를 담당합니다. 여러 에이전트를 업데이트하려면 여러 업데이트 프로그램이 필요합니다.

우리는 업데이트 프로그램이 Teleport와 최대한 분리되도록 설계했습니다. 업데이트 프로그램은 에이전트가 Teleport 클러스터에 참여할 수 없을 때도 에이전트를 업데이트할 수 있습니다. 고장 난 버전을 푸시할 수 있지만, 리소스에 수동으로 연결하여 에이전트를 수정하지 않고 항상 롤백/롤포워드가 가능해야 합니다.

업데이트 프로그램은 주기적으로 버전 서버에서 대상 버전을 가져오고 에이전트를 대상 버전으로 업데이트합니다. 에이전트를 다시 시작하면 현재 열린 세션을 중단할 수 있으므로, 두 가지 경우에만 에이전트를 업데이트합니다: 유지 관리 창 동안 또는 에이전트가 비정상일 때입니다.

자동 업데이트가 있는 클러스터에 등록된 경우, 에이전트는 Teleport 클러스터에서 유지 관리 일정을 가져와 저장합니다. 유지 관리 일정이 있으면 업데이트 프로그램이 이를 준수합니다. 그러나 업데이트 프로그램이 유지 관리 일정을 찾을 수 없는 경우, 에이전트를 비정상으로 간주하고 가능한 한 빨리 업데이트를 수행합니다. 유사하게, 업데이트 프로그램이 에이전트가 비정상임을 감지하면, 즉시 보류 중인 업데이트를 적용하여 저하된 상태에서 복구를 시도합니다.

우리는 추가적인 실패 방지 장치인 중요한 유지 관리 토글을 구현했습니다. 버전 서버는 업데이트가 중요하다고 지정할 수 있습니다. 중요한 업데이트는 업데이트 프로그램이 정기 유지 관리 창 외부에 있을 때도 적용됩니다.

보안

에이전트를 업데이트할 때, 업데이트 프로그램은 새로운 버전의 진위를 배포하기 전에 확인합니다. apt, yum 또는 zypper를 사용하는 Linux 배포판에서는 기존 패키지 서명 시스템을 사용합니다. Kubernetes 기반 환경에서는 OCI 이미지 서명을 검증합니다(cosign의 서명 사용).

버전 서버 및 진실의 출처

에이전트 버전은 다음 제약 조건이 있습니다:

  • 에이전트는 Proxy 또는 Auth 서비스 버전을 초과해서는 안 됩니다.
  • 에이전트는 항상 Proxy 또는 Auth 서비스 버전보다 최대 한 개의 주요 버전까지만 낮아야 합니다.

최선의 방법은 항상 에이전트 버전을 Proxy 및 Auth와 일치시키는 것입니다. Auth 및 Proxy를 업그레이드하려면 Teleport 클러스터 업그레이드 가이드를 따르십시오.

이로 인해 모든 업데이트 프로그램은 해당 Teleport 클러스터와 호환되는 버전을 대상으로 하는 릴리스 채널에 구독해야 합니다. Teleport Cloud 사용자들은 stable/cloud 릴리스 채널을 사용하여 Teleport Cloud 버전 서버를 사용해야 합니다. 자체 호스팅 Teleport 사용자들은 자신의 버전 서버를 호스팅하고 Auth 및 Proxy 인스턴스를 업데이트할 때마다 릴리스 채널을 업데이트하거나 stable/rolling 채널을 사용해야 합니다.

Teleport Cloud

Teleport Cloud를 사용하고 있다면, 인스턴스가 자동 업데이트에 등록된 경우에만 Teleport Cloud의 버전 서버를 사용할 수 있습니다. 이 버전 서버는 기능, 호환성, 보안 및 안정성 측면에서 최상의 버전을 항상 목표로 합니다.

Teleport Cloud 관리 평면이 자동으로 업데이트되지 않으면 자동 에이전트 업데이트를 사용해서는 안 됩니다. 이는 귀하의 Teleport 인스턴스 버전이 다른 Teleport Cloud 인스턴스와 다를 수 있으며 최신 에이전트 버전을 아직 지원하지 않을 수 있기 때문입니다.

자체 호스팅 Teleport

Teleport Enterprise를 자체 호스팅하는 경우 자동 에이전트 업데이트를 설정할 수 있습니다. 업데이트 프로그램은 에이전트의 대상 버전을 가져오기 위해 버전 채널을 사용합니다. Teleport Proxy 서비스는 현재 버전과 일치하는 기본 버전 채널을 제공합니다. 기본 버전을 구성하고 추가 채널 버전을 설정할 수 있습니다.

버전 채널이 현재 Teleport Proxy 서비스 및 Teleport Auth 서비스 버전과 호환되도록 하는 것은 귀하의 책임입니다. 또한 모든 에이전트가 정상이고 올바른 버전을 실행하도록 에이전트의 상태 및 배포 상태를 모니터링해야 합니다.

다음 단계

자체 호스팅 사용자는 먼저 자체 호스팅 자동 에이전트 업그레이드 설정하기를 수행해야 합니다.

그 후, 에이전트를 자동 업데이트에 등록하는 것을 업그레이드 절차의 일환으로 설정할 수 있습니다.

Teleport 원문 보기