텔레포트 프록시 서비스는 웹 UI를 갖춘 아이덴티티 인식 프록시입니다. 텔레포트 프록시 서비스는 다음과 같은 주요 기능을 제공합니다:
- 사용자가 텔레포트 웹 UI를 사용하여 SSH 및 Windows 데스크탑에 액세스하기 위해 단일 사인온 아이덴티티 공급자 또는 로컬 자격 증명으로 인증할 수 있게 합니다.
- SSH, Kubernetes, HTTPS 및 데이터베이스를 포함한 여러 프로토콜에 대한 트래픽을 가로채고, 인증된 클라이언트만 대상 리소스에 연결할 수 있도록 보장합니다.
- 방화벽 뒤에 있는 서버와 프록시가 리버스 터널을 사용하여 연결할 수 있도록 네트워킹 및 연결성을 제공합니다.
- 시스템 관리자가 TLS 라우팅 기능을 사용하여 모든 프로토콜의 모든 포트를 하나의 TLS 포트로 압축할 수 있게 합니다.
- 명령 및 API 호출을 기록하고, 이를 감사 로그로 쿼리하고 스트리밍합니다. 감사 로그는 텔레포트 인증 서비스의 백엔드에 저장됩니다.
최소한의 텔레포트 클러스터를 만들기 위해서는 두 개의 서비스를 실행해야 합니다:
텔레포트 인증 서비스와 텔레포트 프록시 서비스. 홈 실험실에서는
두 서비스를 한 바이너리와 프로세스로 실행할 수 있습니다.
웹 UI
웹 UI에서 텔레포트 프록시 구현은 WSS - 안전한 웹 소켓 -을 사용하여
대상 리소스를 프록시합니다. 예를 들어 SSH 서버 또는 데스크탑:
웹 UI를 사용할 때, 텔레포트 프록시는 트래픽을 종료하고 클라이언트 연결을 위해 데이터를 재인코딩합니다.
아이덴티티 인식 프록시
IAP 모드에서 사용자는 SSO 또는 로그인 흐름을 시작하여 자신의 클라이언트 머신에서 공개 키에 서명합니다:
우리는 IAP 모드가 웹 UI 접근보다 더 안전하다고 간주합니다. 개인 키는 사용자의 클라이언트를 떠나지 않습니다.
리소스에 대한 클라이언트의 연결은 상호 인증됩니다. 이 모드는 브라우저 사용이 적기 때문에 CSRF나 쿠키 탈취와 같은 웹 관련 공격에 덜 취약합니다.
터널
이 모드에서는 방화벽 뒤에 있는 리소스가 프록시로 다시 향하는 리버스 터널을 설정할 수 있습니다. 프록시는 클라이언트의 연결을 이러한 터널을 통해 대상 리소스로 전달합니다.
아래의 예에서, 앨리스는 방화벽 뒤의 Kubernetes 클러스터에 두 개의 터널을 통해 연결합니다:
위의 모든 모드는 기본적으로 프록시에서 활성화되어 있습니다. 특별한 구성은 필요하지 않습니다. 일부 모드를 끄고 싶지 않다면 특별한 구성이 필요하지 않습니다.