청구 및 사용
클라우드 청구는 어떻게 작동하나요?
가격 논의를 원하시면 영업팀에 문의하세요.
고객이 텔레포트 엔터프라이즈 클라우드에 여러 클러스터를 배포할 수 있나요?
가격 논의를 원하시면 영업팀에 문의하세요.
텔레포트 엔터프라이즈 클라우드로 시작하면 텔레포트 엔터프라이즈 또는 텔레포트 커뮤니티 에디션으로 이동할 수 있나요, 아니면 다시 시작해야 하나요?
S3 및 DynamoDB를 스토리지 백엔드로 사용하려는 경우, 가져올 수 있는 데이터를 제공할 수 있습니다. 하지만 먼저 저희에게 문의해야 합니다. 다른 백엔드를 사용하는 경우, 다시 시작해야 합니다.
보안
텔레포트 엔터프라이즈 클라우드는 내 데이터를 얼마나 오래 보존하나요?
data retention 문서를 참조하세요.
독립적인 보안 감사가 가능하나요?
독립적인 제3자에 의한 보안 감사는 최소한 연 1회 수행됩니다. 감사 결과 및 기타 관련 정보는 텔레포트 신뢰 포털에서 요청할 수 있습니다.
SOC 2 보고서에 텔레포트 엔터프라이즈 클라우드가 포함되어 있나요?
우리는 Teleport Access Platform에 대한 연례 SOC 2 Type II 감사를 진행합니다.
감사 보고서는 다음을 포함합니다:
- Teleport 오픈 소스
- Teleport 엔터프라이즈, 셀프 호스팅
- Teleport 엔터프라이즈, 클라우드 호스팅 (SaaS)
SOC 2 보고서는 trust.goteleport.com에서 다운로드할 수 있습니다.
기타 질문이 있는 경우 https://goteleport.com/cloud/sales로 문의하세요.
비밀번호를 어떻게 저장하나요?
비밀번호 해시는 bcrypt를 사용하여 생성됩니다.
데이터를 정지 상태에서 암호화하나요?
각 배포는 고객 데이터(세션 기록 및 사용자 기록 포함)에 대해 AWS DynamoDB 및 S3의 정지 상태 암호화를 사용합니다.
내 인프라에서 연결을 허용해야 하는 IP 주소 목록을 받을 수 있나요?
텔레포트 엔터프라이즈 클라우드에 대한 수신 연결에 사용되는 IP 주소 목록은 공용 IP 주소 허용 목록을 참조하세요.
텔레포트 엔터프라이즈 클라우드에 연결할 수 있는 IP 주소 목록을 구성할 수 있나요?
우리는 수신 연결 IP 허용 목록에 대한 지원을 제공할 계획이 없습니다.
우리는 강력한 사용자 및 장치 신뢰 인증을 위한 mTLS가 최고의 보안을 제공한다고 믿습니다.
준수 목적을 위해 IP 기반 제어가 필요한 고객의 경우, 우리는 IP 핀닝을 지원합니다. 자세한 정보는 텔레포트 접근 제어 참조의 pin_source_ip
를 참조하세요.
내부 연결은 암호화/인증되나요?
텔레포트 구성 요소는 mTLS를 사용하여 서로 통신하며, 각 테넌트마다 별도의 인증 기관이 있습니다. DynamoDB 및 S3와 같은 AWS 서비스에 대한 연결은 AWS에서 제공하는 암호화를 통해 설정됩니다(정지 상태 및 전송 중 모두). 각 테넌트는 자신의 데이터와만 상호작용할 수 있도록 격리된 자격 증명을 가지고 있습니다.
리소스 연결
텔레포트 엔터프라이즈 클라우드에 리소스를 추가하려면 어떻게 하나요?
역터널을 사용하여 서버, Kubernetes 클러스터, 데이터베이스, 데스크탑 및 응용 프로그램을 연결할 수 있습니다.
수신 트래픽을 위해 인프라에서 포트를 열 필요가 없습니다.
고객이 클러스터에 연결할 수 있는 에이전트의 최대 수는 얼마인가요?
10,000개 이상의 노드 또는 에이전트를 연결할 계획이라면, 테넌트가 제대로 확장되도록 귀하의 계정 또는 고객 지원 팀에 문의하시기 바랍니다.
리소스를 텔레포트 클러스터에 연결하기 위해 엔터프라이즈 또는 텔레포트 커뮤니티 에디션을 사용해야 하나요?
Teleport Enterprise 및 Enterprise Cloud 고객은 에이전트에 대해 teleport
바이너리의 Enterprise 릴리스를 사용해야 합니다. Community Edition 바이너리를 실행하면 특정 기능의 경우 이러한 클러스터 에디션과의 호환성 문제가 발생할 수 있습니다.
Teleport Enterprise 릴리스가 설치되어 있는지 확인하려면 teleport version
명령을 실행하면 출력에 Enterprise가 표시됩니다.
teleport versionTeleport Enterprise v16.2.0 go1.22
Teleport Community Edition 클러스터는 Teleport Community Edition 릴리스를 사용해야 합니다. teleport version
명령은 해당 릴리스의 출력에만 Teleport가 포함됩니다.
teleport versionTeleport v16.2.0 go1.22
Enterprise 또는 Teleport Community Edition 릴리스에 대한 특정 플랫폼에 설치하는 방법의 자세한 내용은 설치 가이드를 참조하세요.
동적 노드 토큰을 사용할 수 있나요?
텔레포트 엔터프라이즈 클라우드에 tctl
을 연결한 후, 사용자는 동적 토큰을 생성할 수 있습니다:
tctl nodes add --ttl=5m --roles=node,proxy --token=$(uuid)
tctl
사용
tctl
관리 도구에 어떻게 접근하나요?
설치에서 적절한 다운로드를 찾으세요. tctl
의 엔터프라이즈 버전을 사용하세요.
도구를 다운로드한 후, 먼저 tsh
를 사용하여 클러스터에 로그인한 다음, 원격으로 tctl
을 사용하세요:
tsh login --proxy=example.teleport.shtctl status
tctl
을 사용할 때 permission denied
오류가 발생하는 이유는 무엇인가요?
내 컴퓨터에 /etc/teleport.yaml
이라는 로컬 파일이 있는 경우 tctl
은 로컬 클러스터를 사용하려고 시도합니다. 환경 변수 TELEPORT_CONFIG_FILE
을 ""
로 설정하여 텔레포트 구성 파일을 사용하지 않도록 하세요.
export TELEPORT_CONFIG_FILE=""tctl tokens add --type=node
감사 이벤트 및 세션 기록
텔레포트 엔터프라이즈 클라우드 감사 이벤트를 내 회사의 내부 보안 정보 및 사건 관리(SIEM)로 전달할 방법이 있나요?
네. 텔레포트의 이벤트 핸들러 플러그인을 사용하여 텔레포트 엔터프라이즈 클라우드 감사 이벤트를 내보내는 것을 추천합니다.
감사 로그와 세션 기록을 내 S3 버킷에 저장할 수 있나요?
네, 외부 감사 저장소를 구성할 수 있습니다.
프록시 녹화 모드를 활성화할 수 있나요?
클라우드 고객에 대해 프록시 녹화 모드가 비활성화되어 있습니다.
세션 기록을 쉽게 재생할 수 있도록 다운로드할 수 있는 방법이 있나요?
오프라인 보기용으로 기록을 다운로드할 수 있는 기능은 향후 릴리스에서 제공될 예정입니다.
업데이트
텔레포트가 자동으로 업데이트되나요?
관리형 텔레포트 엔터프라이즈 클러스터의 텔레포트 인증 서비스와 텔레포트 프록시 서비스는 텔레포트 예정 릴리스에서 설명한 릴리스 일정에 따라 자동으로 패치와 마이너 릴리스를 최신 상태로 유지합니다.
- 텔레포트 인증 서비스 및 텔레포트 프록시 서비스의 주요 버전 업데이트는 일반적으로 새로운 주요 버전이 릴리스된 후 한 달이 경과한 후 발생합니다.
- 마이너 업데이트 및 패치는 일반적으로 릴리스된 후 하루에서 일주일 사이에 발생합니다.
- 텔레포트 인증 서비스 및 텔레포트 프록시 서비스 업데이트는 귀하의 예정된 유지 관리 시간에 따라 텔레포트 클라우드 계정으로 푸시됩니다.
- 텔레포트 인증 서비스와 프록시 서비스는 구형 주요 버전의 텔레포트 에이전트와 함께 자동으로 다음 주요 버전으로 업그레이드되지 않습니다.
- 텔레포트 에이전트는 자동 업데이트에 가입한 경우에만 자동으로 업데이트됩니다.
관리형 텔레포트 엔터프라이즈 클러스터에 연결된 텔레포트 에이전트가 1개 이상의 주요 버전이 구형인 경우, 텔레포트 에이전트가 자동 업데이트에 등록되어 있지 않는 한 호환성 문제를 경험할 수 있습니다. 업그레이드 개요에서 더 많은 정보를 확인하세요.
연결된 에이전트의 버전 정보를 얻으려면 연결된 에이전트의 버전 정보를 어떻게 찾을 수 있나요?를 참조하세요.
자동 업데이트 및 호환성 문제에 대한 추가 정보는 텔레포트 지원에 문의하시기 바랍니다.
왜 내 관리형 텔레포트 엔터프라이즈 클러스터가 최신 주요 버전으로 업그레이드되지 않았나요?
텔레포트 제어 평면은 동일한 주요 버전 또는 하나의主要 버전만 뒤쳐진 텔레포트 에이전트를 지원합니다. 텔레포트 에이전트가 최신 상태가 아닌 경우, 자원에 대한 연결 문제를 방지하기 위해 주요 버전 업그레이드를 보류합니다. 예를 들어, 제어 평면이 현재 텔레포트 15를 실행하고 텔레포트 에이전트가 텔레포트 14를 실행하고 있다면, 모든 텔레포트 에이전트가 텔레포트 15를 실행할 때까지 제어 평면을 텔레포트 16으로 업그레이드할 수 없습니다.
텔레포트 에이전트 버전 상태는 tctl inventory ls
명령어를 통해 확인할 수 있습니다. Auth
및 Proxy
서비스는 텔레포트에서 관리합니다. 연결된 에이전트의 버전 정보를 어떻게 찾을 수 있나요?에서 추가 세부 정보를 참조하세요.
텔레포트 엔터프라이즈 클라우드에 대한 업데이트 시간을 구성할 수 있나요?
네, 텔레포트는 업데이트를 위한 예정된 유지 관리 시간 창을 제공하며, 조직에 가장 적합한 유지 관리 창 시작 시간을 설정할 수 있습니다. 예정된 유지 관리 창은 모든 텔레포트 클라우드 계정의 모든 업데이트에 적용되며, 클러스터 업데이트는 설정한 유지 관리 창 시작 시간보다 일찍 시작되지 않습니다.
유지 관리 창 시작 시간을 설정하려면, 텔레포트 웹 UI에서 사용자 이름을 선택한 후, 도움말 및 지원을 클릭하세요. 예정된 업그레이드에서 현재 유지 관리 창 시작 시간을 확인할 수 있습니다. 편집을 클릭하여 예정된 유지 관리를 위한 다른 시작 시간을 설정하세요.
텔레포트는 status.teleport.sh에서 텔레포트 클라우드의 상태를 확인하는 것을 권장합니다. 상태 페이지에서 업데이트 구독을 클릭하여 텔레포트 클라우드가 사고를 생성, 업데이트 또는 해결할 때 이메일 알림을 받아보세요. 예정된 유지 관리 및 새로운 릴리스에 대한 정보를 받아보세요.
에이전트는 언제 자동 업데이트되나요?
텔레포트 엔터프라이즈 클라우드는 자동 에이전트 업데이트를 사용하려면 자동 업데이트를 수신하도록 설정해야 합니다. 자동 에이전트 업데이트를 통해 에이전트는 주기적으로 최신 릴리스를 확인하고 새로운 버전이 발견되면 소프트웨어를 업데이트합니다.
자동 에이전트 업데이트에 등록하면, 텔레포트 클러스터가 예정된 유지 관리 기간 동안 업데이트된 후 텔레포트 에이전트가 자동으로 업데이트됩니다. 추가 정보는 자동 에이전트 업데이트 가이드를 읽어보세요.
연결된 에이전트의 버전 정보를 어떻게 찾을 수 있나요?
tctl inventory ls
명령어를 통해 에이전트의 버전 상태를 확인할 수 있습니다. Auth
및 Proxy
서비스는 텔레포트에서 관리합니다.
tctl inventory ls
서버 ID 호스트 이름 서비스 에이전트 버전 업그레이더 업그레이더 버전
------------------------------------ --------------------- --------------- ------------- -------- ----------------
065ab336-1ac2-4314-8b16-32fc06a172a7 example-1 Node,App v16.1.7 unit v16.1.7
065ab336-1ac2-4314-8b16-f00uj04004db example-2 Node,Db v16.1.7 unit v16.1.7
3de21e67-845a-4be1-a024-908829718d27 teleport-kube-0 Kube v16.1.7 kube v16.1.7
아키텍처 및 네트워킹
내 텔레포트 엔터프라이즈 클라우드 테넌트에서 어떤 프록시 서비스 포트가 열려 있나요?
텔레포트 엔터프라이즈 클라우드는 각 테넌트에 대해 서로 다른 포트 세트를 할당합니다. 텔레포트 엔터프라이즈 클라우드 테넌트에서 사용할 수 있는 포트를 보려면 다음과 유사한 명령어를 실행하세요. 여기서 example.teleport.sh
를 귀하의 테넌트 도메인으로 교체하세요:
curl https://example.teleport.sh/webapi/ping | jq '.proxy'
출력은 다음과 비슷하게 보일 것이며, 테넌트에 할당된 고유 포트를 포함합니다:
{
"kube": {
"enabled": true,
"public_addr": "example.teleport.sh:11107",
"listen_addr": "0.0.0.0:3026"
},
"ssh": {
"listen_addr": "[::]:3023",
"tunnel_listen_addr": "0.0.0.0:3024",
"public_addr": "example.teleport.sh:443",
"ssh_public_addr": "example.teleport.sh:11105",
"ssh_tunnel_public_addr": "example.teleport.sh:11106"
},
"db": {
"postgres_public_addr": "example.teleport.sh:11109",
"mysql_listen_addr": "0.0.0.0:3036",
"mysql_public_addr": "example.teleport.sh:11108"
},
"tls_routing_enabled": true
}
이 출력은 또한 테넌트에 TLS 라우팅이 활성화되어 있는지를 나타냅니다. TLS 라우팅이 활성화되면 텔레포트 서비스(예: 텔레포트 SSH 서비스)에 대한 연결이 해당 서비스에 할당된 포트를 통해서가 아니라 프록시 서비스의 공용 웹 주소를 통해 라우팅됩니다.
이 경우, TLS 라우팅이 활성화되고 프록시 서비스의 공용 웹 주소(ssh.public_addr
)가 example.teleport.sh:443
임을 알 수 있습니다.
자세한 내용은 TLS 라우팅 가이드를 참조하세요.
텔레포트는 웹 인증서를 어떻게 관리하나요? 내 인증서를 업로드할 수 있나요?
텔레포트는 모든 고객에게 인증서를 발급하기 위해 letsencrypt.org를 사용합니다. 사용자 지정 인증서를 업로드하거나 사용자 지정 도메인 이름을 사용할 수 없습니다.
텔레포트 엔터프라이즈 클라우드는 어디에서 실행되나요?
텔레포트 클라우드는 아마존 웹 서비스(AWS)에서 실행됩니다. 우리는 전 세계 다양한 지역에 프록시를 운영하며, 고객이 데이터를 저장할 지역을 선택할 수 있도록 합니다.
AWS 관리 키 또는 KMS를 통한 CMK를 사용하고 있나요?
우리는 AWS 관리 키를 사용합니다. 현재 귀하의 키를 제공할 옵션은 없습니다.
이 텔레포트의 S3 버킷인가요, 아니면 내 AWS 자격 증명에 기반한 내 버킷인가요?
이는 텔레포트 관리 S3 버킷으로, 기본적으로 AWS 관리 키로 설정되어 있습니다.
외부 감사 저장소를 구성하면 귀하의 S3 버킷을 사용할 수 있습니다.
텔레포트 엔터프라이즈 클라우드에 대한 연결에 IPv6가 지원되나요?
현재 우리는 텔레포트 엔터프라이즈 클라우드에 대한 IPv6 연결을 지원하지 않습니다.
생성된 후 클라우드 인스턴스의 도메인 이름을 변경할 수 있나요?
현재 이것이 가능한지 조사 중이므로, support@goteleport.com으로 지원팀에 문의해 주세요.
FIPS 모드는 선택 사항인가요?
FIPS는 현재 텔레포트 엔터프라이즈 클라우드 클러스터의 옵션이 아닙니다.
성능 및 신뢰성
텔레포트 엔터프라이즈 클라우드를 생산 환경에서 사용할 수 있나요?
네. 대규모 조직은 텔레포트 엔터프라이즈 클라우드를 사용하여 조직 내의 방대한 자원을 관리합니다. 텔레포트 엔터프라이즈 클라우드는 고객에게 제공되는 가장 신뢰할 수 있고 안전한 서비스를 보장하기 위해 정기적으로 감사됩니다.
클라우드 SLA는 무엇인가요?
텔레포트 엔터프라이즈 클라우드는 매달 99.9%의 가동 시간, 매달 최대 44 minutes의 다운타임에 대한 SLA를 약속합니다. 이 SLA를 정기적으로 초과하지만, 이 숫자는 시간이 지남에 따라 개선될 아키텍처의 위험을 반영합니다.
상태 페이지를 이용할 수 있나요?
텔레포트 엔터프라이즈 클라우드 다운타임에 대한 푸시 알림을 받을 수 있나요?
네. 고객은 status.teleport.sh에서 텔레포트 엔터프라이즈 클라우드 업데이트를 구독할 수 있습니다.
호스팅된 클러스터에서 진단 정보를 검색할 수 있나요?
현재 우리는 테넌트를 위한 메트릭 인터페이스를 노출하지 않습니다.
자체적인 메트릭 수집을 위해, 우리는 mTLS를 배포 중이므로, 승인된 내부 클라이언트만 실행 중인 인스턴스에서 메트릭을 수집하거나 스크랩할 수 있습니다. 이 설계는 mTLS 인증서를 외부 클라이언트에게 발급하여 텔레포트의 각 테넌트가 다른 테넌트와 상호작용할 수 없도록 보장하는 메커니즘을 포함하지 않습니다.
텔레포트 클라우드 테넌트는 프로세스 클러스터로 구성되며, 부하 분산기 뒤에 지정된 프로세스가 있습니다. 클러스터 전체를 스크랩하려면 텔레포트 클러스터의 각 구성 요소에 개별적으로 접근 가능해야 합니다. 이렇게 되면, 공격자가 클러스터 내의 각 개별 소프트웨어 인스턴스에 대해 트래픽을 지정할 수 있는 경우, 개별 구성 요소가 선택적으로 공격받을 수 있습니다.
계정에 대한 복구 코드를 설정하여 접근을 잃지 않으려면 어떻게 해야 하나요?
설정하는 방법에 대한 짧은 단계별 안내가 있습니다.