Teleport là một mã nguồn mở có thể được sử dụng như một mặt phẳng truy cập cho cơ sở hạ tầng toàn cầu của bạn. Nó cung cấp quyền truy cập không tin cậy vào nhiều dịch vụ khác nhau như máy chủ, cụm Kubernetes, máy chủ cơ sở dữ liệu, ứng dụng DevOps như AWS Management Console, CI/CD, kiểm soát phiên bản và máy tính để bàn. Teleport là nguồn duy nhất đáng tin cậy để truy cập, được đồng bộ hóa trên toàn bộ cơ sở hạ tầng của bạn.
Teleport có thể loại bỏ nhu cầu sử dụng VPN bằng cách cung cấp một cổng duy nhất để truy cập vào cơ sở hạ tầng điện toán toàn cầu của bạn. Đây là Proxy truy cập gốc danh tính cho phép bạn truy cập cơ sở hạ tầng của mình một cách an toàn.
Teleport đã được các công ty bảo mật như Cure53 và Doyensec kiểm toán công khai. Teleport hiện đang được triển khai và sử dụng trong sản xuất bởi các công ty như Samsung, NASDAQ, IBM, Epic Games và nhiều công ty khác.
Trong hướng dẫn này, bạn sẽ thiết lập và bảo mật mặt phẳng truy cập cho cơ sở hạ tầng của mình thông qua Teleport trên máy chủ Rocky Linux 9. Bạn sẽ cài đặt Teleport, khởi tạo Teleport Cluster, bật Teleport Web Service, thêm người dùng Teleport, sau đó thêm Nodes/Server vào Teleport Cluster thông qua các phương pháp khác nhau.
Sau khi hoàn tất hướng dẫn này, bạn sẽ có một cơ sở hạ tầng máy chủ an toàn chỉ có thể truy cập qua Teleport. Ngoài ra, bạn có thể vô hiệu hóa quyền truy cập SSH trên các nút/máy chủ cục bộ của mình.
Để thiết lập Teleport làm mặt phẳng truy cập cho cơ sở hạ tầng của bạn, bạn sẽ thêm kho lưu trữ Teleport vào hệ thống của mình, sau đó cài đặt kho lưu trữ đó. Đối với các bản phân phối dựa trên RHEL, bạn có thể cài đặt Teleport thông qua kho lưu trữ Teleport chính thức.
Chạy lệnh dnf bên dưới để thêm kho lưu trữ Teleport vào hệ thống Rocky Linux của bạn. Sau đó, hãy xác minh danh sách các kho lưu trữ đang hoạt động.
Kho lưu trữ Teleport hiện đã có trên hệ thống của bạn.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22202%22%3E%3C/svg%3E
Cài đặt gói Teleport thông qua lệnh dnf bên dưới. Khi được nhắc xác nhận, hãy nhập y và nhấn ENTER.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22189%22%3E%3C/svg%3E
Gói Teleport phải được cài đặt trong thư mục '/usr/local/bin'. Chạy lệnh bên dưới để xác minh danh sách các dòng lệnh bằng Teleport.
Bạn nên Teleport các dòng lệnh như teleport, tsh và tctl.
Tiếp theo, thêm thư mục '/usr/local/bin' vào sudoers secure_path bằng cách sử dụng lệnh bên dưới. Điều này cho phép bạn chạy các dòng lệnh Teleport với sudo ở đầu.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22110%22%3E%3C/svg%3E
Cuối cùng, hãy xác minh phiên bản Teleport thông qua bên dưới lệnh.
Bạn sẽ nhận được kết quả như ảnh chụp màn hình: Bây giờ bạn đã cài đặt Teleport v11 trên hệ thống Rocky Linux của mình.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22545%22%20height=%22248%22%3E%3C/svg%3E
Sau khi Teleport được cài đặt, bạn sẽ khởi tạo và cấu hình Teleport Cluster.
Sau khi Teleport được cài đặt, bây giờ bạn sẽ khởi tạo cụm Teleport và bật dịch vụ web Teleport cung cấp bảng điều khiển quản trị để quản lý Cụm Teleport. Cuối cùng, bạn sẽ khởi động và bật dịch vụ Teleport.
Để bắt đầu, hãy chạy lệnh teleport bên dưới để khởi tạo cấu hình máy chủ Teleport. Ngoài ra, hãy đảm bảo thay đổi tên miền, tên cụm và đường dẫn của cả chứng chỉ SSL, khóa công khai và khóa riêng.
Trong màn hình thiết bị đầu cuối của bạn, bạn sẽ nhận được đầu ra như thế này - Tệp cấu hình Teleport được tạo tại tệp '/etc/teleport.yaml'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22676%22%20height=%22303%22%3E%3C/svg%3E
Tiếp theo, mở tệp cấu hình Teleport '/etc/teleport.yaml' bằng lệnh trình chỉnh sửa nano bên dưới.
Thêm các dòng sau vào tệp. Với những dòng này, bạn sẽ kích hoạt Dịch vụ Web Teleport sẽ chạy trên tên miền Teleport 'teleport.howtoforge.local'.
Lưu và đóng tệp khi hoàn tất.
Bây giờ hãy chạy tiện ích lệnh systemctl bên dưới để bắt đầu và kích hoạt dịch vụ Teleport trên hệ thống.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22122%22%3E%3C/svg%3E
Dịch vụ Teleport phải đang chạy và được bật, hãy chạy lệnh bên dưới để xác minh và đảm bảo rằng dịch vụ Teleport đang chạy.
Bạn sẽ nhận được kết quả tương tự như thế này - Dịch vụ Teleport đang chạy và được bật, nghĩa là dịch vụ Teleport sẽ tự động chạy khi khởi động.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22201%22%3E%3C/svg%3E
Khi dịch vụ Teleport đang chạy, bây giờ bạn có thể để truy cập Teleport thông qua trình duyệt web của bạn. Nhưng trước đó, bạn phải mở một số cổng sẽ được dịch vụ Teleport sử dụng. Bạn có thể kiểm tra trang Mạng Teleport để biết danh sách các cổng chi tiết cho Cụm Teleport.
Chạy lệnh firewall-cmd bên dưới để thêm các cổng sẽ được Teleport sử dụng.
Bây giờ hãy tải lại firewalld để áp dụng các thay đổi, sau đó xác minh danh sách các quy tắc firewalld.
Bây giờ hãy đảm bảo rằng bạn đã có kết quả tương tự như sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22231%22%3E%3C/svg%3E
Cuối cùng, hãy mở trình duyệt web và truy cập tên miền Teleport của bạn (ví dụ: https://teleport.howtoforge.local/). Bạn sẽ thấy trang đăng nhập Teleport nếu cài đặt Teleport thành công.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22741%22%20height=%22692%22%3E%3C/svg%3E
Trong bước tiếp theo, bạn sẽ tạo và thiết lập người dùng Teleport có thể được sử dụng để quản lý Teleport Cluster thông qua dòng lệnh và bảng điều khiển quản trị.
Trước khi bắt đầu, hãy đảm bảo rằng ứng dụng 2FA đã được cài đặt trên thiết bị của bạn, bạn có thể sử dụng KeepassXC cho máy tính để bàn, Aegis cho Android hoặc Google Authentication cho iOS.
Để bắt đầu, hãy chạy lệnh bên dưới trên máy chủ 'teleport-rocky' để tạo người dùng Teleport mới. Lệnh này sẽ tạo người dùng mới 'teleport-admin' với các vai trò là editor và access. Cờ '--logins' cho phép 'teleport-admin' đăng nhập vào bất kỳ nút nào thông qua người dùng root, rocky hoặc ec2-user. Người dùng đằng sau cờ '--login' phải được tạo trên các nút mục tiêu.
Bạn sẽ nhận được đầu ra như thế này - Người dùng Teleport 'teleport-admin' đã được tạo và bạn sẽ nhận được liên kết được tạo sẽ được sử dụng để định cấu hình người dùng mới của mình.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22104%22%3E%3C/svg%3E
Sao chép liên kết đã tạo vào trình duyệt web của bạn và bây giờ bạn sẽ nhận được tin nhắn chào mừng để thiết lập người dùng Teleport. Nhấp vào nút BẮT ĐẦU để thiết lập người dùng Teleport mới.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22440%22%3E%3C/svg%3E
Nhập tên người dùng cho người dùng Teleport của bạn và nhập mật khẩu. Đảm bảo rằng bạn đang sử dụng mật khẩu mạnh và dễ nhớ. Nhấp vào TIẾP THEO để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22647%22%20height=%22719%22%3E%3C/svg%3E
Sau khi cấu hình tên người dùng và mật khẩu, bây giờ bạn sẽ thiết lập xác thực hai yếu tố cho người dùng Teleport của mình.
Quét mã QR trên trang thiết lập Teleport và nhập mã OTP đã tạo. Sau đó nhấp vào GỬI để xác nhận.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22615%22%20height=%22750%22%3E%3C/svg%3E
Bây giờ bạn sẽ nhận được thông báo 'Đăng ký thành công' nếu mã OTP của bạn chính xác. Và bây giờ bạn đã cấu hình xong mật khẩu và 2FA cho người dùng Teleport mới.
Nhấp vào ĐI ĐẾN BẢNG ĐIỀU KHIỂN.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22706%22%20height=%22628%22%3E%3C/svg%3E
Bây giờ bạn sẽ nhận được bảng điều khiển quản trị web của triển khai Teleport, đang chạy an toàn với HTTPS được bật và người dùng được tạo với 2FA được bật.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22333%22%3E%3C/svg%3E
Lệnh tsh cho phép người dùng xác thực và quản lý Teleport Cluster từ thiết bị đầu cuối. Bạn có thể thêm, chỉnh sửa hoặc xóa tài nguyên Teleport trên cụm. Để bảo mật, bạn phải chạy lệnh tsh với tư cách là người dùng không phải root.
Lệnh tctl để thiết lập và cấu hình Dịch vụ xác thực Teleport. Lệnh này phải được chạy với quyền sudo hoặc root.
Trong bước này, bạn sẽ truy cập và quản lý Teleport Cluster thông qua cả hai dòng lệnh tsh và tctl.
Trước tiên, hãy đăng nhập vào người dùng không phải root thông qua lệnh bên dưới. Ví dụ này sử dụng người dùng 'rocky'.
Bây giờ hãy chạy lệnh tsh bên dưới để xác thực với Teleport Cluster của bạn. Ví dụ này sẽ xác thực với Teleport Cluster chạy trên tên miền 'teleport.howtoforge.local' với người dùng 'teleport-admin'.
Bạn sẽ được yêu cầu nhập mật khẩu cho người dùng 'teleport-admin' và nhập mã xác thực OTP. Nhập đúng mật khẩu cho người dùng của bạn và mã OTP đúng từ ứng dụng 2FA của bạn.
Khi thành công và được xác thực, bạn sẽ nhận được kết nối chi tiết đến Teleport Cluster như sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22215%22%3E%3C/svg%3E
Bạn cũng có thể xác minh kết nối hiện tại đến Teleport Cluster thông qua lệnh tsh bên dưới. Điều này sẽ tạo ra cùng một đầu ra như ảnh chụp màn hình ở trên.
Bây giờ bạn đã xác thực với Teleport Cluster qua tsh, giờ bạn có thể quản lý tài nguyên trong Teleport qua terminal.
Chạy lệnh tsh bên dưới để kiểm tra danh sách các máy chủ/nút/máy chủ có sẵn trên Teleport Cluster.
Bây giờ hãy xác minh ứng dụng đã bật trên Teleport CLuster thông qua lệnh tsh bên dưới.
Trong đầu ra, bạn sẽ thấy một nút có sẵn trên Teleport Cluster (teleport-rocky) và ứng dụng 'teleport-webapp' được bật.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22706%22%20height=%22263%22%3E%3C/svg%3E
Tiếp theo, bạn cũng có thể đăng nhập vào các nút có sẵn trên Cụm dịch chuyển thông qua lệnh tsh như bên dưới. Với lệnh này, bạn sẽ đăng nhập vào 'teleport-rocky' thông qua lệnh tsh với người dùng 'root' hoặc/và 'rocky'.
Bạn sẽ thấy đầu ra như sau - Với cả hai lệnh tsh, bạn đã đăng nhập thành công vào 'teleport-rocky' thông qua lệnh tsh.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22345%22%3E%3C/svg%3E
Đối với lệnh tctl, bạn nên chạy với sudo lúc đầu. Chạy lệnh tctl bên dưới để kiểm tra các nút/máy chủ khả dụng trên Cụm dịch chuyển tức thời.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22135%22%3E%3C/svg%3E
Trong bước tiếp theo, bạn sẽ tìm hiểu cách thêm Nút/Máy chủ vào Cụm dịch chuyển tức thời thông qua hai phương pháp khác nhau, tự động thông qua bảng điều khiển quản trị web hoặc thủ công thông qua dòng lệnh.
Trong bước này, bạn sẽ thêm hai nút khác nhau vào cụm Teleport. Bạn sẽ thêm nút 'client1' thông qua tập lệnh cài đặt sẽ được tạo từ bảng điều khiển quản trị web và thêm nút 'client2' theo cách thủ công thông qua dòng lệnh.
Bây giờ tải lại firewalld để áp dụng các thay đổi và xác minh trạng thái của các quy tắc firewalld trên nút 'client1'.
Sau đó, bạn sẽ nhận được đầu ra như thế này.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22280%22%3E%3C/svg%3E
Tiếp theo, truy cập bảng điều khiển quản trị web Teleport và nhấp vào Nút THÊM MÁY CHỦ.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22623%22%20height=%22128%22%3E%3C/svg%3E
Chọn loại tài nguyên bạn muốn thêm. Bạn có thể thêm Kubernetes Cluster, Máy chủ cơ sở dữ liệu, Ứng dụng và Máy tính để bàn. Chọn SERVERS để thêm loại tài nguyên máy chủ và nhấp vào TIẾP THEO.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22271%22%3E%3C/svg%3E
Bây giờ bạn sẽ thấy tập lệnh cài đặt được tạo và dòng lệnh có thể được sử dụng để thêm nút 'client1'. Sao chép dòng lệnh đã tạo đó.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22280%22%3E%3C/svg%3E
Bây giờ hãy đăng nhập vào nút 'client1', truy cập quyền root thông qua lệnh sudo, sau đó dán và chạy dòng lệnh đã tạo trên nút 'client1'. Thao tác này sẽ tải xuống và chạy tập lệnh đã tạo trên nút 'client1'.
Bạn sẽ nhận được đầu ra tương tự như thế này trên thiết bị đầu cuối của mình - Tập lệnh cài đặt sẽ thêm nút 'client1' bằng cách sử dụng mã thông báo đã tạo và chân ca của Cụm dịch chuyển tức thời. Ngoài ra, tập lệnh cài đặt sẽ phát hiện hệ điều hành hiện tại của bạn, tự động cài đặt gói Teleport và tạo tệp cấu hình Teleport '/etc/teleport.yaml'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22222%22%3E%3C/svg%3E
Sau khi quá trình hoàn tất, bạn sẽ nhận được đầu ra như thế này. Dịch vụ Teleport trên nút 'client1' cũng tự động khởi động và bật.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22293%22%3E%3C/svg%3E
Bây giờ quay lại bảng điều khiển quản trị web Teleport và bạn sẽ thấy một thông báo như 'Máy chủ đã tham gia thành công cụm Teleport này'. Nhấp vào TIẾP THEO để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22280%22%3E%3C/svg%3E
Bây giờ hãy nhập tên người dùng được phép truy cập vào nút 'client1'. Đảm bảo rằng người dùng có sẵn và được tạo trên nút 'client1'. Nhấp vào TIẾP THEO một lần nữa để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22281%22%3E%3C/svg%3E
Cuối cùng, bạn có thể xác minh các kết nối đến nút 'client1' bằng cách sử dụng các bước có sẵn trên bảng điều khiển quản trị web.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22577%22%3E%3C/svg%3E
Dưới đây là ảnh chụp màn hình sau khi đăng nhập vào nút 'client1' thông qua BẮT ĐẦU PHIÊN ở Bước 3.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22251%22%3E%3C/svg%3E
Nhấp vào HOÀN THÀNH để hoàn tất các quy trình.
Sau đó, bạn sẽ được chuyển hướng đến bảng điều khiển quản trị web Teleport và bạn sẽ thấy rằng nút 'client1' đã được thêm vào Cụm Teleport.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22232%22%3E%3C/svg%3E
Ngoài ra, bạn cũng có thể xác minh danh sách các nút/máy chủ trên Cụm Teleport thông qua dòng lệnh tsh và tctl.
Quay lại 'teleport-rocky' và chạy lệnh bên dưới để xác minh danh sách các nút/máy chủ trên Cụm Teleport Cụm.
Bạn sẽ nhận được kết quả tương tự như sau - Nút client1 khả dụng và đã được thêm vào Cụm dịch chuyển tức thời.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22106%22%3E%3C/svg%3E
Cuối cùng, hãy chạy lệnh tsh bên dưới để đăng nhập vào nút client1 với tư cách là người dùng 'rocky'. Bây giờ bạn phải đăng nhập vào nút 'client1' thông qua Teleport.
Dưới đây là màn hình thiết bị đầu cuối sau khi đăng nhập vào nút client1 thông qua Teleport.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22226%22%3E%3C/svg%3E
Với điều này trong tâm trí, bạn có bây giờ đã thêm thành công nút/máy chủ 'client1' vào Cụm Teleport tự động thông qua tập lệnh cài đặt được tạo từ bảng điều khiển quản trị web Teleport.
Chạy lệnh bên dưới để kiểm tra dấu vân tay 'mã pin CA' của Cụm Teleport. Dấu vân tay 'CA pin' sẽ được sử dụng để thêm nút 'client2.
Dưới đây là kết quả tương tự mà bạn sẽ nhận được - Hãy đảm bảo sao chép dấu vân tay 'CA pin'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22259%22%3E%3C/svg%3E
Tiếp theo, chạy bên dưới lệnh tctl để tạo mã thông báo mới sẽ được nút client2 sử dụng để tham gia Cụm dịch chuyển tức thời. Sau đó, hãy xác minh danh sách các mã thông báo trên Cụm dịch chuyển của bạn.
Bạn sẽ nhận được kết quả tương tự như thế này - Hãy đảm bảo sao chép mã thông báo đã tạo sẽ được nút client2 sử dụng để tham gia Cụm dịch chuyển.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22172%22%3E%3C/svg%3E
Tiếp theo, kết nối với nút 'client2' và chạy lệnh bên dưới để mở cổng.
Tải lại tường lửa và xác minh danh sách các cổng thông qua lệnh bên dưới.
Dưới đây là danh sách các cổng cần được mở trên nút client2.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22307%22%3E%3C/svg%3E
Bây giờ hãy chạy lệnh bên dưới để thêm kho lưu trữ Teleport vào nút client2.
Dưới đây là kết quả tương tự sau khi xác minh danh sách các kho lưu trữ trên nút client2.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22204%22%3E%3C/svg%3E
Chạy lệnh dnf bên dưới để cài đặt Teleport trên nút client2. Nhập y khi được nhắc và nhấn ENTER để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22170%22%3E%3C/svg%3E
Bạn cũng sẽ được nhắc chấp nhận khóa GPG của kho lưu trữ Teleport. Nhập y và nhấn ENTER để xác nhận.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22653%22%20height=%22251%22%3E%3C/svg%3E
Bây giờ, Teleport sẽ được cài đặt vào thư mục '/usr/local/bin'. Chạy lệnh bên dưới để xác minh danh sách các gói nhị phân Teleport.
Bây giờ hãy chạy lệnh bên dưới để thêm thư mục '/usr/local/bin' vào secure_path của sudoers. Điều này cho phép bạn chạy các dòng lệnh Teleport với quyền sudo hoặc root.
Bạn có thể xác minh phiên bản Teleport trên nút client2 thông qua lệnh bên dưới. Bạn sẽ thấy Teleport v11 đã được cài đặt.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22154%22%3E%3C/svg%3E
Tiếp theo, tạo tệp cấu hình Teleport mới '/etc/teleport.yaml' bằng trình chỉnh sửa nano bên dưới lệnh.
Thêm các dòng sau vào tệp. Hãy chắc chắn thay đổi namenode bằng tên máy chủ của nút, token_name bằng mã thông báo bạn đã tạo, proxy_server bằng tên miền của Teleport Cluster và ca_pin bằng dấu vân tay mã pin CA của Teleport Cluster.
Lưu tệp và thoát khỏi trình chỉnh sửa khi hoàn tất.
Tiếp theo, chạy tiện ích lệnh systemctl bên dưới để bắt đầu và kích hoạt dịch vụ Teleport trên client2 node.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22121%22%3E%3C/svg%3E
Sau đó xác minh dịch vụ Teleport thông qua bên dưới lệnh.
Bạn sẽ nhận được kết quả tương tự như ảnh chụp màn hình sau - Dịch vụ Teleport trên nút client2 đã được định cấu hình và đang chạy cũng như được bật.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22202%22%3E%3C/svg%3E
Bây giờ hãy quay lại thiết bị đầu cuối 'teleport-rocky' để xác minh danh sách các nodes/servers từ đó. Chạy lệnh bên dưới để kiểm tra danh sách các nodes trên Teleport Cluster
Bạn sẽ thấy node client2 khả dụng và được thêm vào Teleport Cluster.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22105%22%3E%3C/svg%3E
Tiếp theo, chạy lệnh tsh bên dưới để truy cập nút client2 qua Teleport SSH. Bây giờ bạn sẽ được đăng nhập vào nút client2 qua Teleport. Đảm bảo rằng người dùng 'rocky' có sẵn trên nút client2.
Dưới đây là đầu ra bạn sẽ nhận được sau khi đăng nhập vào nút client2 qua Teleport.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22230%22%3E%3C/svg%3E
Bây giờ quay lại bảng điều khiển quản trị web Teleport và bạn sẽ thấy nút client2 khả dụng trên Teleport Cluster.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22252%22%3E%3C/svg%3E
Cuối cùng, nhấp vào nút 'KẾT NỐI' trên nút 'client2' để bắt đầu và kết nối với 'client2'. Bây giờ bạn phải đăng nhập vào nút 'client2' thông qua bảng điều khiển quản trị web Teleport.
Với điều này trong đầu, giờ đây bạn đã thêm và định cấu hình thành công nút client2 theo cách thủ công bằng cách tạo mã thông báo Teleport, sử dụng dấu vân tay mã PIN CA của Teleport Cluster, cài đặt gói Teleport và tạo tệp cấu hình Teleport.
Bạn cũng đã học cách thiết lập người dùng Teleport với Xác thực hai yếu tố được bật và tìm hiểu cách sử dụng dòng lệnh Teleport (TSH và tctl) để quản lý Teleport Cluster.
Cuối cùng, bạn đã định cấu hình và thêm thành công hai nút client1 và client2 vào Teleport Cluster bằng hai phương pháp khác nhau. Phương pháp đầu tiên là thông qua tập lệnh cài đặt được tạo bởi bảng điều khiển quản trị web Teleport. Phương pháp thứ hai là thêm thủ công các nút/máy chủ bằng cách cài đặt và cấu hình Teleport trên máy đích.
Teleport có thể loại bỏ nhu cầu sử dụng VPN bằng cách cung cấp một cổng duy nhất để truy cập vào cơ sở hạ tầng điện toán toàn cầu của bạn. Đây là Proxy truy cập gốc danh tính cho phép bạn truy cập cơ sở hạ tầng của mình một cách an toàn.
Teleport đã được các công ty bảo mật như Cure53 và Doyensec kiểm toán công khai. Teleport hiện đang được triển khai và sử dụng trong sản xuất bởi các công ty như Samsung, NASDAQ, IBM, Epic Games và nhiều công ty khác.
Trong hướng dẫn này, bạn sẽ thiết lập và bảo mật mặt phẳng truy cập cho cơ sở hạ tầng của mình thông qua Teleport trên máy chủ Rocky Linux 9. Bạn sẽ cài đặt Teleport, khởi tạo Teleport Cluster, bật Teleport Web Service, thêm người dùng Teleport, sau đó thêm Nodes/Server vào Teleport Cluster thông qua các phương pháp khác nhau.
Sau khi hoàn tất hướng dẫn này, bạn sẽ có một cơ sở hạ tầng máy chủ an toàn chỉ có thể truy cập qua Teleport. Ngoài ra, bạn có thể vô hiệu hóa quyền truy cập SSH trên các nút/máy chủ cục bộ của mình.
Điều kiện tiên quyết
Để hoàn thành hướng dẫn này, bạn phải có các yêu cầu sau:- Máy chủ Rocky Linux 9 - Ví dụ này sử dụng Rocky Linux với tên máy chủ 'teleport-rocky' và địa chỉ IP của máy chủ '192.168.5.100'.
- Người dùng không phải root có quyền quản trị viên sudo/root.
- Tên miền trỏ đến địa chỉ IP máy chủ của bạn.
- Tạo chứng chỉ SSL - Bạn có thể tạo chứng chỉ SSL miễn phí thông qua Certbot và Letsencrypt.
- SELinux đang chạy ở chế độ cho phép.
- Ứng dụng xác thực hai yếu tố - Bạn có thể sử dụng KeepassXC với plugin 2FA trên máy tính để bàn. Bạn có thể sử dụng Aegis (người dùng Android) hoặc Google Authentication (người dùng iOS) cho người dùng điện thoại.
Cài đặt Teleport trên Rocky Linux 9
Teleport là một ứng dụng cung cấp cách an toàn để truy cập vào cơ sở hạ tầng của bạn. Bạn có thể truy cập an toàn vào máy chủ Linux, cụm Kubernetes, máy chủ cơ sở dữ liệu, ứng dụng và máy tính để bàn thông qua một cổng.Để thiết lập Teleport làm mặt phẳng truy cập cho cơ sở hạ tầng của bạn, bạn sẽ thêm kho lưu trữ Teleport vào hệ thống của mình, sau đó cài đặt kho lưu trữ đó. Đối với các bản phân phối dựa trên RHEL, bạn có thể cài đặt Teleport thông qua kho lưu trữ Teleport chính thức.
Chạy lệnh dnf bên dưới để thêm kho lưu trữ Teleport vào hệ thống Rocky Linux của bạn. Sau đó, hãy xác minh danh sách các kho lưu trữ đang hoạt động.
Mã:
sudo dnf config-manager --add-repo https://rpm.releases.teleport.dev/teleport.repo
sudo dnf repolistdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22202%22%3E%3C/svg%3E
Cài đặt gói Teleport thông qua lệnh dnf bên dưới. Khi được nhắc xác nhận, hãy nhập y và nhấn ENTER.
Mã:
sudo dnf install teleportdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22189%22%3E%3C/svg%3E
Gói Teleport phải được cài đặt trong thư mục '/usr/local/bin'. Chạy lệnh bên dưới để xác minh danh sách các dòng lệnh bằng Teleport.
Mã:
ls /usr/local/bin/Tiếp theo, thêm thư mục '/usr/local/bin' vào sudoers secure_path bằng cách sử dụng lệnh bên dưới. Điều này cho phép bạn chạy các dòng lệnh Teleport với sudo ở đầu.
Mã:
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
sudo chmod 440 /etc/sudoers.d/secure_pathdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22110%22%3E%3C/svg%3E
Cuối cùng, hãy xác minh phiên bản Teleport thông qua bên dưới lệnh.
Mã:
sudo teleport version
sudo tsh version
sudo tctl versiondata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22545%22%20height=%22248%22%3E%3C/svg%3E
Sau khi Teleport được cài đặt, bạn sẽ khởi tạo và cấu hình Teleport Cluster.
Cấu hình Teleport Server
Để sử dụng Teleport, trước tiên bạn phải cấu hình Teleport. Nhưng trước đó, bạn phải đảm bảo rằng tên miền của bạn được trỏ đến địa chỉ IP của máy chủ và bạn đã tạo chứng chỉ SSL. Ví dụ này sử dụng tên miền 'teleport.howtoforge.local' và chứng chỉ SSL từ Letsencrypt có sẵn trong thư mục '/etc/letsencrypt/live/teleport.howtoforge.local'.Sau khi Teleport được cài đặt, bây giờ bạn sẽ khởi tạo cụm Teleport và bật dịch vụ web Teleport cung cấp bảng điều khiển quản trị để quản lý Cụm Teleport. Cuối cùng, bạn sẽ khởi động và bật dịch vụ Teleport.
Để bắt đầu, hãy chạy lệnh teleport bên dưới để khởi tạo cấu hình máy chủ Teleport. Ngoài ra, hãy đảm bảo thay đổi tên miền, tên cụm và đường dẫn của cả chứng chỉ SSL, khóa công khai và khóa riêng.
Mã:
sudo teleport configure -o file \
--cluster-name=teleport.howtoforge.local \
--public-addr=teleport.howtoforge.local:443 \
--cert-file=/etc/letsencrypt/live/teleport.howtoforge.local/fullchain.pem \
--key-file=/etc/letsencrypt/live/teleport.howtoforge.local/privkey.pemdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22676%22%20height=%22303%22%3E%3C/svg%3E
Tiếp theo, mở tệp cấu hình Teleport '/etc/teleport.yaml' bằng lệnh trình chỉnh sửa nano bên dưới.
Mã:
sudo nano /etc/teleport.yaml
Mã:
app_service:
enabled: yes
apps:
- name: "teleport-webapp"
uri: "http://localhost:9000"
public_addr: "teleport.howtoforge.local"Bây giờ hãy chạy tiện ích lệnh systemctl bên dưới để bắt đầu và kích hoạt dịch vụ Teleport trên hệ thống.
Mã:
sudo systemctl start teleport
sudo systemctl enable teleportdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22122%22%3E%3C/svg%3E
Dịch vụ Teleport phải đang chạy và được bật, hãy chạy lệnh bên dưới để xác minh và đảm bảo rằng dịch vụ Teleport đang chạy.
Mã:
sudo systemctl status teleportdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22201%22%3E%3C/svg%3E
Khi dịch vụ Teleport đang chạy, bây giờ bạn có thể để truy cập Teleport thông qua trình duyệt web của bạn. Nhưng trước đó, bạn phải mở một số cổng sẽ được dịch vụ Teleport sử dụng. Bạn có thể kiểm tra trang Mạng Teleport để biết danh sách các cổng chi tiết cho Cụm Teleport.
Chạy lệnh firewall-cmd bên dưới để thêm các cổng sẽ được Teleport sử dụng.
Mã:
sudo firewall-cmd --add-port={443/tcp,3021/tcp,3022/tcp,3025/tcp,3028/tcp} --permanent
Mã:
sudo firewall-cmd --reload
sudo firewall-cmd --list-alldata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22231%22%3E%3C/svg%3E
Cuối cùng, hãy mở trình duyệt web và truy cập tên miền Teleport của bạn (ví dụ: https://teleport.howtoforge.local/). Bạn sẽ thấy trang đăng nhập Teleport nếu cài đặt Teleport thành công.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22741%22%20height=%22692%22%3E%3C/svg%3E
Trong bước tiếp theo, bạn sẽ tạo và thiết lập người dùng Teleport có thể được sử dụng để quản lý Teleport Cluster thông qua dòng lệnh và bảng điều khiển quản trị.
Thêm người dùng Teleport
Tại thời điểm này, bạn đã chạy Teleport Cluster với dịch vụ web được bật trên đó. Trong bước này, bạn sẽ tạo và thiết lập người dùng Teleport sẽ được sử dụng để quản lý Teleport Cluster.Trước khi bắt đầu, hãy đảm bảo rằng ứng dụng 2FA đã được cài đặt trên thiết bị của bạn, bạn có thể sử dụng KeepassXC cho máy tính để bàn, Aegis cho Android hoặc Google Authentication cho iOS.
Để bắt đầu, hãy chạy lệnh bên dưới trên máy chủ 'teleport-rocky' để tạo người dùng Teleport mới. Lệnh này sẽ tạo người dùng mới 'teleport-admin' với các vai trò là editor và access. Cờ '--logins' cho phép 'teleport-admin' đăng nhập vào bất kỳ nút nào thông qua người dùng root, rocky hoặc ec2-user. Người dùng đằng sau cờ '--login' phải được tạo trên các nút mục tiêu.
Mã:
sudo tctl users add teleport-admin --roles=editor,access --logins=root,rocky,ec2-userdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22104%22%3E%3C/svg%3E
Sao chép liên kết đã tạo vào trình duyệt web của bạn và bây giờ bạn sẽ nhận được tin nhắn chào mừng để thiết lập người dùng Teleport. Nhấp vào nút BẮT ĐẦU để thiết lập người dùng Teleport mới.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22440%22%3E%3C/svg%3E
Nhập tên người dùng cho người dùng Teleport của bạn và nhập mật khẩu. Đảm bảo rằng bạn đang sử dụng mật khẩu mạnh và dễ nhớ. Nhấp vào TIẾP THEO để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22647%22%20height=%22719%22%3E%3C/svg%3E
Sau khi cấu hình tên người dùng và mật khẩu, bây giờ bạn sẽ thiết lập xác thực hai yếu tố cho người dùng Teleport của mình.
Quét mã QR trên trang thiết lập Teleport và nhập mã OTP đã tạo. Sau đó nhấp vào GỬI để xác nhận.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22615%22%20height=%22750%22%3E%3C/svg%3E
Bây giờ bạn sẽ nhận được thông báo 'Đăng ký thành công' nếu mã OTP của bạn chính xác. Và bây giờ bạn đã cấu hình xong mật khẩu và 2FA cho người dùng Teleport mới.
Nhấp vào ĐI ĐẾN BẢNG ĐIỀU KHIỂN.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22706%22%20height=%22628%22%3E%3C/svg%3E
Bây giờ bạn sẽ nhận được bảng điều khiển quản trị web của triển khai Teleport, đang chạy an toàn với HTTPS được bật và người dùng được tạo với 2FA được bật.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22333%22%3E%3C/svg%3E
Quản lý Teleport Cluster qua Dòng lệnh
Gói Teleport bao gồm dòng lệnh ts và tctl có sẵn trong thư mục '/usr/local/bin'.Lệnh tsh cho phép người dùng xác thực và quản lý Teleport Cluster từ thiết bị đầu cuối. Bạn có thể thêm, chỉnh sửa hoặc xóa tài nguyên Teleport trên cụm. Để bảo mật, bạn phải chạy lệnh tsh với tư cách là người dùng không phải root.
Lệnh tctl để thiết lập và cấu hình Dịch vụ xác thực Teleport. Lệnh này phải được chạy với quyền sudo hoặc root.
Trong bước này, bạn sẽ truy cập và quản lý Teleport Cluster thông qua cả hai dòng lệnh tsh và tctl.
Trước tiên, hãy đăng nhập vào người dùng không phải root thông qua lệnh bên dưới. Ví dụ này sử dụng người dùng 'rocky'.
Mã:
su - rocky
Mã:
tsh login --proxy=teleport.howtoforge.local --user=teleport-adminKhi thành công và được xác thực, bạn sẽ nhận được kết nối chi tiết đến Teleport Cluster như sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22215%22%3E%3C/svg%3E
Bạn cũng có thể xác minh kết nối hiện tại đến Teleport Cluster thông qua lệnh tsh bên dưới. Điều này sẽ tạo ra cùng một đầu ra như ảnh chụp màn hình ở trên.
Mã:
tsh statusChạy lệnh tsh bên dưới để kiểm tra danh sách các máy chủ/nút/máy chủ có sẵn trên Teleport Cluster.
Mã:
tsh ls
Mã:
tsh apps lsdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22706%22%20height=%22263%22%3E%3C/svg%3E
Tiếp theo, bạn cũng có thể đăng nhập vào các nút có sẵn trên Cụm dịch chuyển thông qua lệnh tsh như bên dưới. Với lệnh này, bạn sẽ đăng nhập vào 'teleport-rocky' thông qua lệnh tsh với người dùng 'root' hoặc/và 'rocky'.
Mã:
tsh ssh root@teleport-rocky
tsh ssh rocky@teleport-rockydata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22345%22%3E%3C/svg%3E
Đối với lệnh tctl, bạn nên chạy với sudo lúc đầu. Chạy lệnh tctl bên dưới để kiểm tra các nút/máy chủ khả dụng trên Cụm dịch chuyển tức thời.
Mã:
sudo tctl nodes lsdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22135%22%3E%3C/svg%3E
Trong bước tiếp theo, bạn sẽ tìm hiểu cách thêm Nút/Máy chủ vào Cụm dịch chuyển tức thời thông qua hai phương pháp khác nhau, tự động thông qua bảng điều khiển quản trị web hoặc thủ công thông qua dòng lệnh.
Thêm nút vào cụm Teleport
Để thêm nút/máy chủ vào cụm Teleport, bạn phải đảm bảo rằng máy chủ có thể truy cập được. Và bạn có thể sử dụng hai phương pháp khác nhau để thêm nút/máy chủ vào cụm Teleport của mình.Trong bước này, bạn sẽ thêm hai nút khác nhau vào cụm Teleport. Bạn sẽ thêm nút 'client1' thông qua tập lệnh cài đặt sẽ được tạo từ bảng điều khiển quản trị web và thêm nút 'client2' theo cách thủ công thông qua dòng lệnh.
Thêm nút thông qua Bảng điều khiển quản trị Teleport
Trước khi bắt đầu, hãy chạy lệnh firewall-cmd bên dưới để mở một số cổng trên nút 'client1'.
Mã:
sudo firewall-cmd --add-port={3021/tcp,3022/tcp,3025/tcp} --permanent
Mã:
sudo firewall-cmd --reload
sudo firewall-cmd --list-alldata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22280%22%3E%3C/svg%3E
Tiếp theo, truy cập bảng điều khiển quản trị web Teleport và nhấp vào Nút THÊM MÁY CHỦ.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22623%22%20height=%22128%22%3E%3C/svg%3E
Chọn loại tài nguyên bạn muốn thêm. Bạn có thể thêm Kubernetes Cluster, Máy chủ cơ sở dữ liệu, Ứng dụng và Máy tính để bàn. Chọn SERVERS để thêm loại tài nguyên máy chủ và nhấp vào TIẾP THEO.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22271%22%3E%3C/svg%3E
Bây giờ bạn sẽ thấy tập lệnh cài đặt được tạo và dòng lệnh có thể được sử dụng để thêm nút 'client1'. Sao chép dòng lệnh đã tạo đó.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22280%22%3E%3C/svg%3E
Bây giờ hãy đăng nhập vào nút 'client1', truy cập quyền root thông qua lệnh sudo, sau đó dán và chạy dòng lệnh đã tạo trên nút 'client1'. Thao tác này sẽ tải xuống và chạy tập lệnh đã tạo trên nút 'client1'.
Bạn sẽ nhận được đầu ra tương tự như thế này trên thiết bị đầu cuối của mình - Tập lệnh cài đặt sẽ thêm nút 'client1' bằng cách sử dụng mã thông báo đã tạo và chân ca của Cụm dịch chuyển tức thời. Ngoài ra, tập lệnh cài đặt sẽ phát hiện hệ điều hành hiện tại của bạn, tự động cài đặt gói Teleport và tạo tệp cấu hình Teleport '/etc/teleport.yaml'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22222%22%3E%3C/svg%3E
Sau khi quá trình hoàn tất, bạn sẽ nhận được đầu ra như thế này. Dịch vụ Teleport trên nút 'client1' cũng tự động khởi động và bật.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22293%22%3E%3C/svg%3E
Bây giờ quay lại bảng điều khiển quản trị web Teleport và bạn sẽ thấy một thông báo như 'Máy chủ đã tham gia thành công cụm Teleport này'. Nhấp vào TIẾP THEO để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22280%22%3E%3C/svg%3E
Bây giờ hãy nhập tên người dùng được phép truy cập vào nút 'client1'. Đảm bảo rằng người dùng có sẵn và được tạo trên nút 'client1'. Nhấp vào TIẾP THEO một lần nữa để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22281%22%3E%3C/svg%3E
Cuối cùng, bạn có thể xác minh các kết nối đến nút 'client1' bằng cách sử dụng các bước có sẵn trên bảng điều khiển quản trị web.
- Đầu tiên, hãy chọn người dùng mà bạn muốn sử dụng để đăng nhập.
- Thứ hai, hãy nhấp vào nút TEST SERVER trên 'Bước 2' và đảm bảo rằng tất cả các bài kiểm tra đều được kiểm tra/đánh dấu là đã hoàn tất.
- Cuối cùng, hãy nhấp vào nút START SESSION sẽ tự động mở một tab mới trên trình duyệt web và truy cập nút 'client1' thông qua người dùng đã chọn.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22577%22%3E%3C/svg%3E
Dưới đây là ảnh chụp màn hình sau khi đăng nhập vào nút 'client1' thông qua BẮT ĐẦU PHIÊN ở Bước 3.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22251%22%3E%3C/svg%3E
Nhấp vào HOÀN THÀNH để hoàn tất các quy trình.
Sau đó, bạn sẽ được chuyển hướng đến bảng điều khiển quản trị web Teleport và bạn sẽ thấy rằng nút 'client1' đã được thêm vào Cụm Teleport.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22232%22%3E%3C/svg%3E
Ngoài ra, bạn cũng có thể xác minh danh sách các nút/máy chủ trên Cụm Teleport thông qua dòng lệnh tsh và tctl.
Quay lại 'teleport-rocky' và chạy lệnh bên dưới để xác minh danh sách các nút/máy chủ trên Cụm Teleport Cụm.
Mã:
sudo tctl nodes lsdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22106%22%3E%3C/svg%3E
Cuối cùng, hãy chạy lệnh tsh bên dưới để đăng nhập vào nút client1 với tư cách là người dùng 'rocky'. Bây giờ bạn phải đăng nhập vào nút 'client1' thông qua Teleport.
Mã:
tsh ssh rocky@client1data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22226%22%3E%3C/svg%3E
Với điều này trong tâm trí, bạn có bây giờ đã thêm thành công nút/máy chủ 'client1' vào Cụm Teleport tự động thông qua tập lệnh cài đặt được tạo từ bảng điều khiển quản trị web Teleport.
Thêm nút theo cách thủ công
Bây giờ bạn sẽ thêm nút 'client2' theo cách thủ công vào Cụm Teleport thông qua các bước sau:- Kiểm tra mã pin CA của Cụm Teleport
- Tạo mã thông báo Teleport
- Thiết lập tường lửa trên nút cleint2
- Cài đặt và cấu hình Teleport trên nút client2
Chạy lệnh bên dưới để kiểm tra dấu vân tay 'mã pin CA' của Cụm Teleport. Dấu vân tay 'CA pin' sẽ được sử dụng để thêm nút 'client2.
Mã:
sudo tctl statusdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22259%22%3E%3C/svg%3E
Tiếp theo, chạy bên dưới lệnh tctl để tạo mã thông báo mới sẽ được nút client2 sử dụng để tham gia Cụm dịch chuyển tức thời. Sau đó, hãy xác minh danh sách các mã thông báo trên Cụm dịch chuyển của bạn.
Mã:
sudo tctl nodes add --ttl=30m --roles=node | grep "invite token:" | grep -Eo "[0-9a-z]{32}"
sudo tctl token lsdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22172%22%3E%3C/svg%3E
Tiếp theo, kết nối với nút 'client2' và chạy lệnh bên dưới để mở cổng.
Mã:
sudo firewall-cmd --add-port={3021/tcp,3022/tcp,3025/tcp} --permanent
Mã:
sudo firewall-cmd --reload
sudo firewall-cmd --list-alldata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22307%22%3E%3C/svg%3E
Bây giờ hãy chạy lệnh bên dưới để thêm kho lưu trữ Teleport vào nút client2.
Mã:
sudo dnf config-manager --add-repo https://rpm.releases.teleport.dev/teleport.repo
sudo dnf repolistdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22204%22%3E%3C/svg%3E
Chạy lệnh dnf bên dưới để cài đặt Teleport trên nút client2. Nhập y khi được nhắc và nhấn ENTER để tiếp tục.
Mã:
sudo dnf install teleportdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22170%22%3E%3C/svg%3E
Bạn cũng sẽ được nhắc chấp nhận khóa GPG của kho lưu trữ Teleport. Nhập y và nhấn ENTER để xác nhận.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22653%22%20height=%22251%22%3E%3C/svg%3E
Bây giờ, Teleport sẽ được cài đặt vào thư mục '/usr/local/bin'. Chạy lệnh bên dưới để xác minh danh sách các gói nhị phân Teleport.
Mã:
ls /usr/local/bin/
Mã:
echo "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path
sudo chmod 440 /etc/sudoers.d/secure_path
Mã:
sudo teleport versiondata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22154%22%3E%3C/svg%3E
Tiếp theo, tạo tệp cấu hình Teleport mới '/etc/teleport.yaml' bằng trình chỉnh sửa nano bên dưới lệnh.
Mã:
sudo nano /etc/teleport.yaml
Mã:
version: v3
teleport:
nodename: client2
data_dir: /var/lib/teleport
join_params:
token_name: 30c7156ba908284dbd6000605806f9ab
method: token
proxy_server: teleport.howtoforge.local:443
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: sha256:25a6945151b89f10eaf89ac5fe0bd7c88caf77acefce9a4e77edb84737974e4d
diag_addr: ""
auth_service:
enabled: "no"
ssh_service:
enabled: "yes"
commands:
- name: hostname
command: [hostname]
period: 1m0s
proxy_service:
enabled: "no"
https_keypairs: []
acme: {}Tiếp theo, chạy tiện ích lệnh systemctl bên dưới để bắt đầu và kích hoạt dịch vụ Teleport trên client2 node.
Mã:
sudo systemctl start teleport
sudo systemctl enable teleportdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22121%22%3E%3C/svg%3E
Sau đó xác minh dịch vụ Teleport thông qua bên dưới lệnh.
Mã:
sudo systemctl status teleportdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22202%22%3E%3C/svg%3E
Bây giờ hãy quay lại thiết bị đầu cuối 'teleport-rocky' để xác minh danh sách các nodes/servers từ đó. Chạy lệnh bên dưới để kiểm tra danh sách các nodes trên Teleport Cluster
Mã:
sudo tctl nodes lsdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22105%22%3E%3C/svg%3E
Tiếp theo, chạy lệnh tsh bên dưới để truy cập nút client2 qua Teleport SSH. Bây giờ bạn sẽ được đăng nhập vào nút client2 qua Teleport. Đảm bảo rằng người dùng 'rocky' có sẵn trên nút client2.
Mã:
tsh ssh rocky@client2data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22230%22%3E%3C/svg%3E
Bây giờ quay lại bảng điều khiển quản trị web Teleport và bạn sẽ thấy nút client2 khả dụng trên Teleport Cluster.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22252%22%3E%3C/svg%3E
Cuối cùng, nhấp vào nút 'KẾT NỐI' trên nút 'client2' để bắt đầu và kết nối với 'client2'. Bây giờ bạn phải đăng nhập vào nút 'client2' thông qua bảng điều khiển quản trị web Teleport.
Với điều này trong đầu, giờ đây bạn đã thêm và định cấu hình thành công nút client2 theo cách thủ công bằng cách tạo mã thông báo Teleport, sử dụng dấu vân tay mã PIN CA của Teleport Cluster, cài đặt gói Teleport và tạo tệp cấu hình Teleport.
Kết luận
Cơ sở hạ tầng máy chủ của bạn hiện được bảo mật thông qua Teleport Cluster và giờ đây bạn có thể tắt dịch vụ SSH trên mọi nút và chỉ cho phép truy cập từ Teleport Server. Bây giờ bạn đã học cách cài đặt Teleport Cluster trên máy chủ Rocky Linux 9 và tìm hiểu cấu hình cơ bản để thiết lập Teleport.Bạn cũng đã học cách thiết lập người dùng Teleport với Xác thực hai yếu tố được bật và tìm hiểu cách sử dụng dòng lệnh Teleport (TSH và tctl) để quản lý Teleport Cluster.
Cuối cùng, bạn đã định cấu hình và thêm thành công hai nút client1 và client2 vào Teleport Cluster bằng hai phương pháp khác nhau. Phương pháp đầu tiên là thông qua tập lệnh cài đặt được tạo bởi bảng điều khiển quản trị web Teleport. Phương pháp thứ hai là thêm thủ công các nút/máy chủ bằng cách cài đặt và cấu hình Teleport trên máy đích.
