Teleport
- Tomáš Koubek (Unlicensed)
- Tomáš Koubek
Popis
Jump server systém pro přihlašování do různých systémů nebo vzdálených zařízení. Teleport centralizuje přihlašování do různých systémů na jedno místo a zvyšuje tak zabezpečení infrastruktury.
Obecně k Teleportu
Web projektu: https://goteleport.com/
Naše implementace
Systém máme nainstalovaný na stroji teleport.pef.mendelu.cz pro přístup k projektovým serverům. Na teleskop.mendelu.cz je stroj pro studentský přístup. Vše ostatní (interní servery a takové, které nemusí spravovat nikdo jiný) jsou na intel.pef.mendelu.cz.
Architektura naší Teleport infrastruktury
Jednotlivé teleporty jsou propojeny (návod na propojování clusterů je na https://goteleport.com/docs/management/admin/trustedclusters/ ) tak, aby bylo možné ze stroje intel.pef.mendelu.cz (root cluster) přistupovat k ostatním clusterům teleport.pef i teleskop (leaf clustery). Mapování rolí je uděláno tak, aby se matchovali role se stejnými názvy, proto by měly být na všech clusterech víceméně stejné role, (tedy ty, které mají přiřazení admin uživatelé z Tech@PEF). Toto je nastaveno prostřednictvím specifikace mapování rolí:
role_map:
- remote: "^(.*)$"
local: [$1]App proxy
Teleport na intel.pef.mendelu.cz je pro app proxy nastaven (oddíl app_service v konfiguráku). Samotný intel (i teleport.pef) má nastavenu DNS wildcard *, protože každá proxy pro aplikaci, kterou přidáme, používá adresu jmenoaplikace.intel.pef.mendelu.cz. Lze řešit i prostřednictvím žádostí o cnamy (tedy tam, kde wildcard není), ale funguje dobře i s úpravou /etc/hosts - musí být upraveno na stroji intel i na stroji, ze kterého se chci na aplikaci podívat.