인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
Teleport 프록시 서비스
Teleport 프록시 서비스는 신원 인식 프록시로 웹 UI를 제공합니다. Teleport 프록시 서비스는 다음과 같은 주요 기능을 제공합니다:
- 사용자가 SSH 및 Windows 데스크톱에 접근하기 위해 단일 로그인 신원 공급자 또는 로컬 자격 증명으로 인증할 수 있도록 합니다.
- SSH, Kubernetes, HTTPS 및 데이터베이스를 포함한 여러 프로토콜의 트래픽을 차단하고, 인증된 클라이언트만 대상 리소스에 연결할 수 있도록 보장합니다.
- 방화벽 뒤에 있는 서버와 프록시가 역방향 터널을 사용하여 연결할 수 있도록 네트워킹 및 연결 기능을 제공합니다.
- 시스템 관리자가 TLS 라우팅 기능을 사용하여 모든 프로토콜에 대해 모든 포트를 하나의 TLS 포트로 압축할 수 있도록 합니다.
- 명령어 및 API 호출을 기록하고 조회하여 감사 로그로 스트리밍합니다. 감사 로그는 Teleport Auth Service의 백엔드에 저장됩니다.
최소 Teleport 클러스터를 생성하려면 두 개의 서비스를 실행해야 합니다: Teleport Auth Service와 Teleport Proxy Service. 홈 랩의 경우, 두 서비스를 하나의 바이너리 및 프로세스로 실행할 수 있습니다.
웹 UI
웹 UI에서 Teleport Proxy는 WSS - 안전한 웹 소켓 - 을 사용하여 대상 리소스로 프록시합니다, 예를 들어 SSH 서버 또는 데스크톱:
TLS 암호화
웹 UI를 사용할 때 Teleport Proxy는 트래픽을 종료하고 클라이언트 연결을 위해 데이터를 다시 인코딩합니다.
신원 인식 프록시
IAP 모드에서 사용자는 SSO 또는 로그인 흐름을 시작하여 클라이언트 머신에서 공개 키를 서명합니다:
IAP 모드 보안
우리는 IAP 모드가 웹 UI 접근보다 더 안전하다고 간주합니다, 왜냐하면 개인 키는 사용자의 클라이언트를 떠나지 않기 때문입니다. 리소스에 대한 클라이언트의 연결은 상호 인증됩니다. 이 모드는 웹 관련 공격, 예를 들어 CSRF 또는 쿠키 하이재킹에 덜 취약합니다. 왜냐하면 브라우저 사용이 줄어들기 때문입니다.
터널
이 모드에서는 방화벽 뒤에 있는 리소스가 프록시로 역방향 터널을 설정할 수 있습니다. 프록시는 이러한 터널을 통해 클라이언트의 연결을 대상 리소스로 전달합니다.
아래 예제에서 Alice는 두 개의 터널을 통해 방화벽 뒤에 있는 Kubernetes 클러스터에 연결합니다:
위의 모든 모드는 프록시에서 기본적으로 활성화되어 있습니다. 이러한 모드 중 일부를 비활성화하려는 경우 특별한 구성이 필요하지 않습니다.