Teleport:基础设施访问代理,统一管理服务器和数据库权限

正文顶部截图

Teleport 是 Gravitational 开源的基础设施访问代理工具,在 GitHub 上有 20k+ Star。

它解决了运维团队的一个核心问题:如何统一管理对服务器、Kubernetes 集群、数据库、Windows 桌面、Web 应用和云 API 的访问权限,同时保留完整的审计记录。

传统方案中,团队往往需要维护 SSH 密钥、数据库密码、VPN 配置等多套凭证系统。Teleport 把这些整合到一个平台里,用短期证书替代长期密码,用统一身份替代分散的密钥。

README区域截图

Teleport 作为一个 Go 编写的单一二进制文件运行,支持以下协议和资源:

  • SSH 服务器
  • Kubernetes 集群
  • 数据库(PostgreSQL、MongoDB、CockroachDB、MySQL)
  • Windows 桌面(RDP)
  • 内部 Web 应用
  • 云平台控制台(AWS、Azure、GCP)
  • Model Context Protocol(MCP)服务器

每个连接都经过身份验证和授权,所有会话都有录像和审计日志。这意味着团队可以回溯任何一次 SSH 登录、数据库查询或 Web 操作。

安全模型

Teleport 的安全设计围绕几个原则展开:

第一,消除长期凭证。Teleport 不使用 SSH 密钥或数据库密码,而是颁发短期自动过期的证书。证书绑定到具体用户身份,过期后自动失效。

第二,多因素认证覆盖所有协议。SSH、Kubernetes、数据库、Web 应用全部支持 MFA。

第三,统一的单点登录。通过 GitHub、OpenID Connect 或 SAML(如 Okta、Microsoft Entra ID)实现 SSO,不需要为每个系统单独配置认证。

第四,基于角色和属性的访问控制。RBAC 和 ABAC 可以按用户、机器、工作负载和资源类型设定权限。

第五,即时权限提升(JIT)。用户可以临时申请需要的角色或资源权限,审批通过后自动生效,到期后自动收回。

使用场景

运维团队可以用 Teleport 替代传统的跳板机和 VPN 方案。相比 VPN 给予用户整个网络的访问权限,Teleport 只开放被授权的具体资源,权限范围更精确。

对于需要合规审计的行业(金融、医疗、政府),Teleport 提供完整的会话录像和操作日志,可以回溯任何一次基础设施访问。

开发团队可以用它管理数据库访问权限,避免直接分发数据库密码。Kubernetes 管理员可以用它控制 kubectl 的使用,记录所有集群操作。

Teleport 还支持 SPIFFE 兼容的工作负载身份,可以参与 SPIFFE 生态系统。这意味着机器之间的通信也可以通过 Teleport 进行身份验证,不局限于人类用户。

部署方式

Teleport 支持三种部署方式:

作为 Linux 守护进程运行,适合单机或小规模部署。

通过 Helm 部署到 Kubernetes 集群,适合已有 K8s 基础设施的团队。

使用 Teleport Enterprise Cloud 托管服务,无需自行维护集群。

安装完成后,通过 Web UI 或 CLI 注册服务器、数据库、Kubernetes 集群等资源,配置访问策略即可开始使用。

项目背景

Teleport 的创始人在 Rackspace 工作时,发现大多数云用户在配置基础设施安全方面存在困难。许多工具复杂且维护成本高。他们决定构建一个易于使用、理解和扩展的方案。

项目名 Teleport 的含义是,把所有服务器实时呈现在你面前,就像它们被传送到了同一个房间。

目前 Teleport 被从个人开发者到大型企业在内的各类用户使用,用于保护云 CLI、Kubernetes 集群、SSH 服务器、数据库、内部 Web 应用以及 AI Agent 使用的 MCP 服务器。

构建与开发

Teleport 使用 Go 语言编写,Web UI 部分使用 TypeScript。从源码构建需要 Go、Rust、Node.js、libfido2 和 pkg-config 等依赖。

项目使用 Go Modules 管理依赖,可以通过 Makefile 执行构建、测试和热重载开发。Docker 构建方式也得到支持,适合环境配置困难的场景。

Teleport 的 API 模块采用 Apache 2.0 许可证,主代码库采用 GNU Affero General Public License。官方分发的社区版构建采用修改版的 Apache 2.0 许可证。

证,主代码库采用 GNU Affero General Public License。官方分发的社区版构建采用修改版的 Apache 2.0 许可证。

Logo

小龙虾开发者社区是 CSDN 旗下专注 OpenClaw 生态的官方阵地,聚焦技能开发、插件实践与部署教程,为开发者提供可直接落地的方案、工具与交流平台,助力高效构建与落地 AI 应用

更多推荐