인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
teleport-operator 차트 참조
teleport-operator Helm 차트는 Teleport Kubernetes Operator를 배포합니다.
차트를 통해 배포할 때, 이 오퍼레이터는 Kubernetes에 있는 Teleport 클러스터나 원격 클러스터(예: Teleport Cloud)에 조인할 수 있습니다.
자세한 내용은 원격 Teleport 클러스터에 대한 Kubernetes Operator 안내서를 참조하시기 바랍니다.
다음 링크를 통해
GitHub에서 소스 찾아보기.
버전 요구 사항
teleport-operator 차트는 Teleport 15에서 도입되었습니다. 이전 버전은 teleport-cluster 차트와 별도로 오퍼레이터를 실행하는 것을 지원하지 않습니다.
teleport-operator 차트는 프로젝트된 볼륨 지원이 있는 Kubernetes 1.20+를 요구합니다.
버전 호환성
이 차트는 Teleport Kubernetes Operator와 함께 버전 관리됩니다. 오퍼레이터와 차트 버전이 다를 경우 호환성 보장이 없습니다.
항상 차트와 오퍼레이터 버전을 맞추는 것이 강력히 권장되며, --version Helm 플래그를 사용하시기 바랍니다.
enabled
| 유형 | 기본값 |
|---|---|
bool | true |
enabled 는 운영자가 활성화되고 배포되어야 하는지를 제어합니다.
true일 때, 차트는CustomResourceDefinition과 운영자DeploymentKubernetes 리소스를 모두 생성합니다.false일 때, 차트는 운영자Deployment없이CustomResourceDefinition리소스만 생성합니다.
installCRDs
| 유형 | 기본값 |
|---|---|
string | "dynamic" |
installCRDs 는 차트가 CRDs를 설치해야 하는지를 제어합니다. 가능한 값은 3가지입니다: dynamic, always, never.
- "dynamic"은 운영자가 활성화된 경우 또는 CRDs가 클러스터에 이미 존재하는 경우 CRDs가 설치됨을 의미합니다. 존재 여부 검사는 운영자를 일시적으로 비활성화할 때 모든 CRDs가 제거되는 것을 방지하기 위해 여기에 있습니다. CRDs를 제거하면 연쇄 삭제가 트리거되어 CRs 및 Teleport의 모든 관련 리소스가 제거됩니다.
- "always"는 CRDs가 항상 설치됨을 의미합니다.
- "never"는 CRDs가 절대로 설치되지 않음을 의미합니다.
teleportAddress
| 유형 | 기본값 |
|---|---|
string | "" |
teleportAddress 는 운영자가 관리하는 Teleport 클러스터의 주소입니다. 주소는 Teleport 클러스터의 도메인 이름과 포트를 모두 포함해야 합니다. 이는 Auth 서비스의 주소일 수도 있고 Proxy 서비스의 주소일 수도 있습니다.
예를 들어:
- Proxy에 조인:
teleport.example.com:443또는teleport.example.com:3080 - Auth에 조인:
teleport-auth.example.com:3025 - 클라우드 호스팅된 Teleport에 조인:
example.teleport.sh:443
caPins
| 유형 | 기본값 |
|---|---|
list[string] | [] |
caPins 는 운영자가 Teleport Auth 서버의 신뢰성을 검증하기 위해 사용하는 Teleport CA 지문 목록입니다. 이는 Auth 서버에 직접 조인할 때(포트 3025 )만 사용되며 Proxy를 통해 조인할 때(포트 443 또는 3080 )는 무시됩니다.
joinMethod
| 유형 | 기본값 |
|---|---|
string | "kubernetes" |
joinMethod 는 Teleport Kubernetes Operator가 Teleport 클러스터에 조인하는 방법을 설명합니다. 운영자는 Teleport에서 발급한 신원 정보를 저장하지 않으며, 각 pod 재시작 시 클러스터에 다시 조인할 수 있어야 합니다. 이를 위해 위임된 조인 방법을 사용해야 합니다. kubernetes 가 가장 일반적입니다.
teleportClusterName
| 유형 | 기본값 |
|---|---|
string | "" |
teleportClusterName 은 조인된 Teleport 클러스터의 이름입니다. Kubernetes JWKS 조인 방법을 통해 조인할 때 이 값을 설정하는 것이 필요합니다.
token
| 유형 | 기본값 |
|---|---|
string | "" |
token 은 운영자가 Teleport 클러스터에 조인하는 데 사용하는 토큰의 이름입니다.
teleportVersionOverride
| 유형 | 기본값 |
|---|---|
string | "" |
teleportVersionOverride 는 차트에 의해 배포되는 Teleport Kubernetes Operator 이미지 버전을 제어합니다.
일반적으로, Teleport Kubernetes Operator의 버전은 차트의 버전과 일치합니다. 차트 버전 15.0.0을 설치하면 Teleport Kubernetes Operator 버전 15.0.0을 사용하게 됩니다. 운영자를 업그레이드하는 것은 차트를 업그레이드함으로써 이루어집니다.
Warning
teleportVersionOverride 는 개발을 위해 설계되었으며 일반적인 배포에서 Teleport 버전을 제어하는 데 사용되어서는 안 됩니다. 이 차트는 특정 Teleport 버전을 실행하도록 설계되었습니다. 이와 다른 Teleport 버전을 실행하려고 하면 호환성 문제가 발생할 수 있습니다.
Teleport 버전 X.Y.Z 를 실행하려면 대신 helm install --version X.Y.Z 를 사용해야 합니다.
image
| 유형 | 기본값 |
|---|---|
string | "public.ecr.aws/gravitational/teleport-operator" |
image 는 차트로 실행되는 Teleport Kubernetes Operator 의 컨테이너 이미지를 설정합니다.
여기에서 전송된 Teleport Kubernetes Operator 이미지 대신 개인 이미지를 사용할 수 있습니다.
annotations
annotations.deployment
| 유형 | 기본값 |
|---|---|
object | {} |
annotations.deployment 는 차트에 의해 생성된 Deployment 리소스에 적용된 Kubernetes 주석을 포함합니다.
annotations.pod
| 유형 | 기본값 |
|---|---|
object | {} |
annotations.pod 는 차트에 의해 생성된 Pod 리소스에 적용된 Kubernetes 주석을 포함합니다.
annotations.serviceAccount
| 유형 | 기본값 |
|---|---|
object | {} |
annotations.serviceAccount 는 차트에 의해 생성된 Deployment 리소스에 적용된 Kubernetes 주석을 포함합니다.
serviceAccount
serviceAccount.create
| 유형 | 기본값 |
|---|---|
bool | true |
serviceAccount.create 는 차트가 Kubernetes ServiceAccount 리소스를 생성해야 하는지를 제어합니다.
true일 경우, 차트는 운영자를 위한ServiceAccount리소스를 생성합니다.false일 경우, 차트는ServiceAccount리소스를 생성하지 않습니다. 사용자가 별도로 배포하고 유지 관리해야 합니다.
이 값은 운영자를 배포하는 사용자가 ServiceAccount 리소스를 수정할 수 없는 제한된 환경에서 false 로 설정할 수 있습니다.
serviceAccount.name
| 유형 | 기본값 |
|---|---|
string | "" |
serviceAccount.name 는 운영자 Kubernetes ServiceAccount 의 이름을 제어합니다.
운영자 Pods는 기본적으로 Helm 차트 릴리즈 이름을 가진 ServiceAccount 를 사용합니다.
이 값은 이 동작을 덮어쓰며, serviceAccount.create 가 false일 때, 운영자가 기존 ServiceAccount 를 사용해야 할 때 유용합니다.
rbac
rbac.create
| 유형 | 기본값 |
|---|---|
bool | true |
rbac.create 는 차트가 RBAC Kubernetes 리소스를 생성해야 하는지를 제어합니다.
true일 경우, 차트는 운영자를 위한Role과RoleBinding리소스를 모두 생성합니다.false일 경우, 차트는Role및RoleBinding리소스를 생성하지 않습니다. 사용자가 별도로 배포하고 유지 관리해야 합니다.
이 값은 운영자를 배포하는 사용자가 RBAC 리소스를 수정할 수 없는 제한된 환경에서 false 로 설정할 수 있습니다.
imagePullPolicy
| 유형 | 기본값 |
|---|---|
string | "IfNotPresent" |
imagePullPolicy 는 차트로 생성된 모든 Pods 에 대한 pull 정책을 설정합니다.
자세한 내용은 Kubernetes 문서를 참조하십시오.
resources
| 유형 | 기본값 |
|---|---|
object | {} |
resources 는 차트로 생성된 모든 Pods 에 대한 리소스 요청/제한을 설정합니다.
자세한 내용은 Kubernetes 문서를 참조하십시오.
priorityClassName
| 유형 | 기본값 |
|---|---|
string | "" |
priorityClassName 는 차트로 생성된 모든 Pods 에 사용되는 우선 순위 클래스를 설정합니다.
사용자는 차트를 배포하기 전에 PriorityClass 리소스를 생성해야 합니다.
자세한 내용은 Kubernetes 문서를 참조하십시오.
tolerations
| Type | Default |
|---|---|
list | [] |
tolerations 는 차트에 의해 생성된 모든 포드에 대한 내성을 설정합니다.
더 자세한 내용은 Kubernetes 문서를 참조하십시오.
nodeSelector
| Type | Default |
|---|---|
object | {} |
nodeSelector 는 차트에 의해 생성된 모든 포드에 대한 노드 선택기를 설정합니다.
더 자세한 내용은 Kubernetes 문서를 참조하십시오.
affinity
| Type | Default |
|---|---|
object | {} |
affinity 는 차트에 의해 생성된 모든 포드에 대한 친화성을 설정합니다.
더 자세한 내용은 Kubernetes 문서를 참조하십시오.
imagePullSecrets
| Type | Default |
|---|---|
list | [] |
imagePullSecrets 는 차트에 의해 생성된 모든 포드에 대한 이미지 풀 비밀을 설정합니다.
더 자세한 내용은 Kubernetes 문서를 참조하십시오.
highAvailability
highAvailability.replicaCount
| Type | Default |
|---|---|
int | 1 |
highAvailability.replicaCount 는 차트에 의해 배포된 운영자 포드 복제본의 수를 제어합니다.
여러 포드가 실행 중일 때, 모든 포드는 시작 시 Teleport 클러스터에 조인하지만 한 포드만이 리소스를 일치시킵니다.
운영자 복제본은 Kubernetes 임대를 사용하여 복제본 리더를 선출합니다.
리더가 실패하면 해당 리스가 만료되고 다른 복제본이 리소스를 일치시키기 시작합니다.
tls
tls.existingCASecretName
| Type | Default |
|---|---|
string | "" |
tls.existingCASecretName 은 운영자 포드가 추가 CA 인증서를 신뢰하도록 만듭니다.
이것은 개인 CA에 의해 서명된 프록시 인증서를 신뢰하는 데 사용됩니다. 운영자는 기본적으로 Mozilla의 Web PKI의 일부인 CA를 신뢰합니다(ca-certificates 패키지).
이 값을 사용하려면 다음과 같이 Teleport Kubernetes Operator와 동일한 네임스페이스에 CA 인증서를 포함하는 Kubernetes Secret 를 생성해야 합니다:
kubectl create secret generic my-root-ca --from-file=ca.pem=/path/to/root-ca.pem
podSecurityContext
| Type | Default |
|---|---|
object | {"fsGroup":65532,"runAsGroup":65532,"runAsNonRoot":true,"runAsUser":65532,"seccompProfile":{"type":"RuntimeDefault"}} |
podSecurityContext 는 차트에 의해 생성된 모든 포드에 대한 포드 보안 컨텍스트를 설정합니다.
더 자세한 내용은 Kubernetes 문서를 참조하십시오.
기본 값은 restricted 포드 보안 표준에서 실행하는 것을 지원합니다.
securityContext
| Type | Default |
|---|---|
object | {"allowPrivilegeEscalation":false,"capabilities":{"drop":["ALL"]},"readOnlyRootFilesystem":true} |
securityContext 는 차트에 의해 생성된 모든 파드의 컨테이너 보안 컨텍스트를 설정합니다.
자세한 내용은 Kubernetes 문서를 참조하십시오.
기본 값은 restricted
Pod Security Standard에서 실행을 지원합니다.