boundary

• 경계는 무엇입니까?
• 웹 사이트 : https://www.boundaryproject.io/
• 포럼 : Hashicorp 토론
• 문서 : https://boundaryproject.io/docs
• 튜토리얼 : Hashicorp의 학습 플랫폼

경계는 네트워크에서 호스트 및 중요한 시스템에 액세스하는 간단하고 안전한 방법을 제공하는 ID 인식 대리입니다.

경계를 사용하면 다음과 같습니다.

• OpenID Connect를 사용하여 선택한 IDP와 통합하여 사용자가 경계 환경에 안전하게 로그인 할 수 있습니다.
• 네트워크 리소스에 대한 정시 네트워크 액세스를 어디에나 거주 할 때마다
• 기본 정적 자격 증명 상점을 통해 세션 자격 증명을 관리하거나 Hashicorp Vault와 통합하여 세션 당 자격 증명을 동적으로 생성합니다.
• 새로운 엔드 포인트의 발견을 자동화하십시오
• Boundary의 세션 컨트롤을 사용하여 권한있는 세션을 관리합니다
• 모든 공급 업체의 모든 유형의 인프라에 대한 일관된 경험으로 팀의 액세스 워크 플로우를 표준화하십시오.

경계는 이해하고 확장 가능하며 탄력적 인 것을 간단하게 설계했습니다. 클라우드, 온 프렘, 안전한 영양소 등으로 실행할 수 있으며 모든 엔드 호스트에 에이전트를 설치할 필요가 없으므로 전통적인 호스트 시스템 및 서비스 외에 관리/클라우드 서비스 및 컨테이너 기반 워크 플로우에 액세스 할 수 있습니다.

자세한 내용은 "경계는 무엇입니까?"를 참조하십시오. 경계 웹 사이트에서.

경계는 두 가지 서버 구성 요소로 구성됩니다.

• API 및 좌표 세션 요청을 제공하는 컨트롤러
• 세션 처리를 수행하는 작업자

실제 경계 설치는 하나 이상의 근로자와 쌍을 이루는 하나 이상의 컨트롤러로 구성 될 것입니다. 단일 경계 바이너리는이 두 모드 중 하나 또는 둘 다에서 작용할 수 있습니다.

또한 Boundary는 최종 사용자가 네트워크 전반에 걸쳐 자원에 대한 승인 된 세션을 요청하고 설정할 수 있도록 데스크탑 클라이언트 및 CLI를 제공합니다.

경계는 호스트 및 서비스에 소프트웨어를 설치할 필요가 없습니다 .

경계에는 두 가지 외부 종속성이 있습니다.

• SQL 데이터베이스
• 하나 이상의 km

데이터베이스에는 경계의 구성 및 세션 정보가 포함되어 있습니다. 컨트롤러 노드는 데이터베이스에 액세스 할 수 있어야합니다.

비밀 (예 : 자격 증명) 인 값은 데이터베이스에서 암호화됩니다. 현재 PostgreSQL은 데이터베이스로 지원되며 Postgres 12 이상으로 테스트되었습니다.

경계는 공통 확장 만 사용하며 호스팅 및 자체 관리 인스턴스는 모두 지원됩니다. 대부분의 경우 필요한 것은 데이터베이스 엔드 포인트와 적절한 자격 증명입니다.

경계는 비밀 보호, 작업자 인증, 데이터 복구, 경계 구성의 값 암호화 등과 같은 다양한 목적으로 KMS 키를 사용합니다. 경계는 주요 파생을 광범위하게 사용하여 이러한 고 부가가치 키의 키 스프롤을 피합니다.

클라우드 KMS 또는 Vault의 대중 교통 비밀 엔진을 사용하여 KMS 요구 사항을 충족시킬 수 있습니다.

보다 영구적 인 컨텍스트에서 경계를 실행하려면 노드에 데이터베이스 및 KMS에 도달하는 방법을 알려주는 간단한 구성 파일을 작성하는 등 몇 가지 단계가 더 필요합니다. 영구 설치에 필요한 추가 정보와 함께 아래 단계는 설치 안내서에 자세히 설명되어 있습니다.

켈 개발자 또는 테스트 케이스를 제외하고는 main 브랜치를 사용 하지 마십시오 . 경계 0.10 도입 된 방출 지점을 추적하기에 안전해야하지만, 필요한 경우 main 의 마이그레이션이 흡수 될 수 있습니다. 장기적으로 main 실행하면 마이그레이션 파손 또는 기타 버그가 발생하면 경계 팀이 도움을 제공 할 수 없습니다.

다운로드 페이지에서 서버 바이너리 및 적절한 데스크탑 클라이언트의 최신 릴리스 다운로드

경계에는 테스트에 사용할 수있는 dev 모드가 있습니다. dev 모드에서는 단일 명령으로 컨트롤러와 작업자를 모두 시작할 수 있으며 다음 속성이 있습니다.

• 컨트롤러는 스토리지로 사용할 PostgreSQL Docker 컨테이너를 시작합니다. 이 컨테이너는 컨트롤러가 우아하게 종료되면 가능한 경우 종료 및 제거됩니다.
• 컨트롤러는 임시 키가있는 내부 KM을 사용합니다

다음 지역 요구 사항을 충족하면 경계를 빠르게 시작하고 실행할 수 있습니다.

• v1.21 이상으로 이동하십시오
• 도커
• 사전 구축 된 UI 자산을 다운로드하기위한 UI 자산을 로컬로 구축하기위한 경계 UI 의존성 또는 GH CLI.

단순히 실행 :

make install

이것은 경계를 쌓을 것입니다. (처음으로 실행되면 UI 자산을 가져오고 컴파일합니다. 추가 시간이 더 걸립니다.) 완료되면 dev 모드에서 경계를 실행하십시오.

$GOPATH/bin/boundary dev

개발에는 다른 도구가 필요할 수 있습니다. 경계 팀이 사용하는 버전에 도구 세트를 설치하려면 다음을 실행하십시오.

make tools

그렇게하지 않고, 실행 중에 make install 동안 오류가 발생할 수 있습니다. make tools 사용하면 경계 개발에 사용되는 다양한 도구를 일반 GO 이진 디렉토리에 설치하는 것이 중요합니다. 이는 이미 시스템에 설치 될 수있는 도구보다 작곡 또는 우선 순위를 차지할 수 있습니다.

다음과 함께 서버 바이너리를 시작합니다.

boundary dev

이것은 들어오는 API 요청과 수신 세션 요청에 대해서는 http://127.0.0.1:9200 의 작업자 서비스에 대한 http://127.0.0.1:9202 9200에서 컨트롤러 서비스가 시작됩니다. 또한 다양한 기본 리소스를 생성하고 인증하는 데 사용할 수있는 로그인 이름 및 비밀번호와 같은 다양한 유용한 정보를 표시합니다.

dev 모드에서 경계를 간단하게 테스트하려면 일반적으로 리소스를 전혀 구성 할 필요가 없습니다! 그러나 dev 모드가 자신을 위해 무엇을했는지 이해하는 것이 유용하여 추가 단계를 수행 할 수 있습니다. 기본적으로 dev Mode는 다음을 생성합니다.

• 로그인 계정과 함께 비밀번호 유형 인증 방법을 포함하는 초기 인증의 global 범위.
• global 의 조직 범위와 조직 내부의 프로젝트 범위.
• 기본 호스트 세트가있는 호스트 카탈로그는 로컬 컴퓨터의 주소가있는 호스트가 포함되어 있습니다 ( 127.0.0.1 )
• 대상 맵핑 호스트는 기본 포트가 22 인 연결 매개 변수 세트로 설정 됨 (예 : SSH)

경계의 웹 UI로 이동하거나 API를 사용하여 이러한 기본값을 변경하거나 다른 호스트에 연결하려는 경우 또는 연결할 포트를 수정 해야하는 경우.

다음으로, 실제로 경계를 통해 현지 SSH 데몬에 연결합시다.

1. 경계로 인증; 기본 dev 값을 사용하면 boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . ( password 플래그를 포함하지 않으면 메시지가 표시됩니다.)
2. boundary connect ssh -target-id ttcp_1234567890 실행합니다. 사용자 이름을 조정하려면 Pass -username <name> 명령에 맞게 조정하십시오.

대상 구성의 가능성을 확인하여 세션 당 연결 수를 제한 (또는 증가)하거나 최대 시간 제한을 설정합니다. 세션 페이지 나 boundary sessions 통해 활성 세션을 취소하고 boundary connect -exec 등으로 직접 명령하십시오.

이 예는 시작하는 간단한 방법이지만 프로덕션 컨텍스트에서 수행 할 수있는 몇 가지 주요 단계를 생략합니다.

• 방화벽 또는 기타 수단을 사용하여 경계 작업자 노드에만 로컬 서비스에 연결할 수있는 호스트 세트를 제한하여 경계를 호스트에게 유입하는 유일한 수단으로 만듭니다.
• 경계 Terraform 제공 업체를 사용하여 기존 코드 기반 인프라와 경계를 쉽게 통합
• 경계의 데이터웨어 하우스에서 BI 도구 (Powerbi, Tableau 등)를 가리키기 위해 통찰력을 생성하고 세션 액세스와 관련하여 이상을 찾습니다.

참고 : 우리는 Boundary의 보안과 사용자의 신뢰를 매우 진지하게 받아들입니다. 경계에서 보안 문제를 발견했다고 생각되면 [email protected]으로 문의하여 책임감있게 공개하십시오 .

기여에 관심을 가져 주셔서 감사합니다! 지침은 Contributing.md를 참조하십시오.