ghcr.io/gravitational/teleport-buildbox-centos7-assets:teleport15-amd64

Teleport为基础设施提供连接、身份验证、访问控制和审计功能。

您可以使用Teleport来：

• 为所有云基础设施和本地基础设施设置单点登录（SSO）。
• 保护对服务器、Kubernetes集群、数据库、Windows桌面、Web应用程序和云API的访问，无需长期密钥或密码。
• 建立安全隧道以访问NAT和防火墙后的资源，无需***或堡垒机。
• 记录和审计SSH、Kubernetes、数据库、RDP和Web会话的活动。
• 在用户、机器、工作负载和资源类型之间应用一致的基于角色和基于属性的访问控制（RBAC/ABAC）。
• 对高权限角色或敏感系统实施最小权限和即时（JIT）访问请求。
• 为人类用户和工作负载维护单一身份和访问层。

Teleport支持SSH、Kubernetes、数据库、RDP、云控制台、内部Web服务、Git仓库和模型上下文协议（MCP）服务器。

更多信息

Teleport 快速入门 Teleport 架构 参考指南 FAQ

目录

• 简介
• 我们构建Teleport的原因
• 支持与贡献
• 安装与运行
• Docker
• 构建Teleport
• 许可证
• FAQ

简介

Teleport包含身份感知访问代理、颁发短期证书的CA、统一访问控制系统以及用于访问防火墙后资源的隧道系统。

Teleport是一个单一的Go二进制文件，可与多种协议和云服务集成，包括

• SSH节点
• Kubernetes集群
• PostgreSQL、MongoDB、CockroachDB和MySQL数据库
• 模型上下文协议
• 内部Web应用
• Windows主机
• 网络服务器

您可以将Teleport设置为Linux守护进程或Kubernetes部署。

Teleport专注于基础设施安全的最佳实践，包括：

• 无共享密钥（如SSH密钥或Kubernetes令牌）；Teleport对所有协议使用基于证书的身份验证，并自动过期。
• 所有内容均支持多因素认证（MFA）。
• 通过GitHub Auth、OpenID Connect或SAML（与Okta或Microsoft Entra ID等端点集成）实现所有内容的单点登录（SSO）。
• 用于协作故障排除的会话共享。
• 基础设施自省，通过Teleport CLI或Web UI查看每个SSH节点、数据库实例、Kubernetes集群或内部Web应用的状态。

Teleport使用Go加密。它与OpenSSH、sshd服务器、ssh客户端、Kubernetes集群等完全兼容。

我们构建Teleport的原因

在Rackspace共事期间，Teleport的创建者注意到大多数云用户在设置和配置基础设施安全方面存在困难。许多为此设计的流行工具难以理解，并且在现代分布式计算基础设施中维护成本高昂。

我们决定构建一个易于使用、理解和扩展的解决方案。让您所有服务器的实时状态就像在同一个房间里一样，仿佛被神奇地传送过来。于是，Teleport诞生了！

如今，从爱好者到超大规模企业，都信任Teleport来简化云CLI和控制台、Kubernetes集群、SSH服务器、数据库、内部Web应用以及AI代理使用的模型上下文协议（MCP）的安全性。

了解更多关于Teleport和我们的历史

支持与贡献

我们致力于使Teleport易于采用和贡献，首先提供清晰全面的文档。

如果您有问题、正在探索想法或想要验证某些内容，请从GitHub Discussion开始。讨论帮助我们回答问题、探索用例，并共同决定是否应将某些内容转化为错误报告或功能请求。

• 在Teleport Discussions中发起对话 这是提问、分享想法和获取帮助的最佳场所。我们的工程师积极参与其中，当有明确、可操作的后续步骤时，讨论可以升级为问题。 在Teleport Discussions中发起对话 这是提问、分享想法和获取帮助的最佳场所。我们的工程师积极参与其中，当有明确、可操作的后续步骤时，讨论可以升级为问题。

• 问题用于已确认的错误和定义明确的功能请求 如果某事物已被确认为错误或增强功能，欢迎提交问题。如有疑问，请先发起讨论，我们将帮助指导。 问题用于已确认的错误和定义明确的功能请求 如果某事物已被确认为错误或增强功能，欢迎提交问题。如有疑问，请先发起讨论，我们将帮助指导。

• 企业版和POC支持 如果您正在评估Teleport Enterprise或在POC期间需要更快速的支持，我们可以设置专用的Slack频道。您可以通过我们的网站联系我们开始。 企业版和POC支持 如果您正在评估Teleport Enterprise或在POC期间需要更快速的支持，我们可以设置专用的Slack频道。您可以通过我们的网站联系我们开始。

安装与运行

要设置单实例Teleport集群，请遵循我们的快速入门指南。然后，您可以将服务器、Kubernetes集群和其他基础设施注册到您的Teleport集群。

您也可以开始使用Teleport Enterprise Cloud，这是一种托管的Teleport部署，可更轻松地实现对基础设施的安全访问。

注册Teleport Enterprise Cloud免费试用，并按照本指南注册您的第一台服务器。

Docker

部署Teleport

如果您希望在Docker容器内部署Teleport，请参见安装指南。

本地测试与开发

要在本地运行完整的测试套件，请参见测试依赖项列表

构建Teleport

teleport仓库包含Teleport守护进程二进制文件（用Go编写）和用TypeScript编写的Web UI。

Dockerized Build

使用Docker进行构建通常最为简便，因为它能确保构建所需的所有工具都可用。要执行Docker化构建，请确保已安装并运行Docker，然后执行：

make -C build.assets build-binaries

此命令将构建与主机架构匹配的Linux二进制文件。不支持交叉编译到不同的目标架构。

Local Build

Dependencies

从源代码构建Teleport需要以下依赖项。为获得最大兼容性，请使用build.assets/versions.mk中列出的版本安装这些依赖项：

• Go
• Rust
• Node.js
• libfido2
• pkg-config

有关macOS上开发环境设置的示例，请参见这些说明。

Perform a build

[!IMPORTANT]

• Go编译器对内存量较为敏感：编译Teleport至少需要1GB虚拟内存。没有交换空间的512MB实例无法正常工作。
• 这将构建Teleport的最新版本。

获取源代码

git clone https://github.com/gravitational/teleport.git
cd teleport

执行构建

make full

默认情况下，tsh会动态链接到libfido2，以支持开发环境，前提是能够找到该库：

$ brew install libfido2 pkg-config # 替换为您选择的包管理器

$ make build/tsh
> libfido2 found, setting FIDO2=dynamic
> (...)

发布版二进制文件会静态链接到libfido2。您可以使用FIDO2变量切换链接模式：

make build/tsh FIDO2=dynamic # 动态链接
make build/tsh FIDO2=static # 静态链接，如需简单设置，请使用`make enter`
# 或`build.assets/macos/build-fido2-macos.sh`。
make build/tsh FIDO2=off # 完全不链接libfido2

支持Touch ID的tsh构建需要访问Apple开发者账户。如果您是Teleport维护者，请向团队申请访问权限。

Build output and run locally

如果构建成功，安装程序会将二进制文件放置在build目录中。

启动前，请创建默认数据目录：

sudo mkdir -p -m0700 /var/lib/teleport
sudo chown $USER /var/lib/teleport

Running Teleport in a hot reload mode

为加快开发过程，您可以使用CompileDaemon运行Teleport。它会构建并运行Teleport二进制文件，然后在任何Go源文件更改时重新构建并重启。

安装CompileDaemon：

go install github.com/githubnemo/CompileDaemon@latest

注意：我们使用go install而非建议的go get，因为我们不希望CompileDaemon成为项目的依赖项。

构建并运行Teleport二进制文件：

make teleport-hot-reload

默认情况下，这会运行teleport start命令。如果您想自定义命令（例如指定自定义配置文件位置），可以使用TELEPORT_ARGS参数：

make teleport-hot-reload TELEPORT_ARGS='start --config=/path/to/config.yaml'

注意：如果修改了任何Protocol Buffers文件，仍需运行make grpc以重新生成Go源代码；重新生成这些源代码会进而促使CompileDaemon重新构建并重启Teleport。

Web UI

Teleport Web UI位于web目录中。

Rebuilding Web UI for development

要重新构建Teleport UI包，请运行以下命令：

make docker-ui

然后您可以用新生成的/dist文件夹中的文件替换Teleport Web UI文件。

要实现Web UI的快速迭代，您可以运行本地Web开发服务器。

您还可以让Teleport从源目录加载Web UI资源。要启用此行为，请设置环境变量DEBUG=1并使用默认目标重新构建：

# 以开发模式运行Teleport单节点集群：
DEBUG=1 ./build/teleport start -d

保持服务器在此模式下运行，并在/dist目录中进行UI更改。有关如何更新Web UI的说明，请阅读web目录下的README。

Managing dependencies

所有依赖项均使用Go模块管理。以下是一些常见任务的说明：

Add a new dependency

最新版本：

go get github.com/new/dependency

并更新源代码以使用此依赖项。

要获取特定版本，请改用go get github.com/new/dependency@version。

Set dependency to a specific version

go get github.com/new/dependency@version

Update dependency to the latest version

go get -u github.com/new/dependency

Update all dependencies

go get -u all

Debugging dependencies

为什么导入了特定包？

go mod why $pkgname

为什么导入了特定模块？

go mod why -m $modname

为什么导入了特定版本的模块？

go mod graph | grep $modname

License

Teleport以多种形式分发，具有不同的许可含义。

Teleport API模块（此仓库中/api目录下的所有代码）采用Apache 2.0许可证。

此仓库中其余源代码采用GNU Affero General Public License许可证。从源代码编译Teleport的用户必须遵守此许可证的条款。

在[***] Community Edition构建版本采用修改后的Apache 2.0许可证。

FAQ

Is Teleport production-ready?

Teleport 支持哪些资源？

Teleport 可保护对广泛基础设施资源的访问，包括 Linux 服务器、Windows 桌面、Kubernetes 集群、数据库、内部 Web 应用程序、云提供商 API 和控制台（如 AWS、Azure 和 GCP），以及 AI 代理使用的模型上下文协议（MCP）服务器。

构建 Teleport

teleport 仓库包含 Teleport 守护进程二进制文件（使用 Go 编写）和一个使用 Javascript 编写的 Web UI（位于 webassets/ 目录中的 git 子模块）。

如果您打算构建并部署到生产环境中，应使用已发布的标签。默认分支 master 是即将发布的主要版本的当前开发分支。获取 [***] 上列出的最新发布标签，然后在 git clone 中使用该标签。例如，git clone https://github.com/gravitational/teleport.git -b v16.0.0 将获取 v16.0.0 版本。

Docker 化构建

使用 Docker 构建通常是最简单的方式，它确保构建所需的所有工具都可用。要执行 Docker 化构建，请确保已安装并运行 Docker，然后执行：

make -C build.assets build-binaries

本地构建

依赖项

确保已安装正确版本的必要依赖项：

• Go 版本来自 https://github.com/gravitational/teleport/blob/master/go.mod#L3
• 如果您希望构建包含桌面访问等 Rust 驱动功能，需查看 https://github.com/gravitational/teleport/blob/master/build.assets/Makefile#L21 中的 Rust 和 Cargo 版本（搜索 RUST_VERSION）
• 对于支持 FIDO 的 tsh 版本

10.x，需要在本地安装 libfido 和 openssl 1.1

• 构建 Web UI 需：
  • pnpm。如果已安装 Node.js，运行 corepack enable pnpm 即可使用 pnpm。
  • 如果您不想安装/使用 pnpm，但已安装 docker，可运行 make docker-ui 替代。
  • 需安装 https://github.com/gravitational/teleport/blob/master/build.assets/versions.mk#L11 中的 Rust 和 Cargo 版本（搜索 RUST_VERSION）。
  • 需安装 https://github.com/gravitational/teleport/blob/master/build.assets/versions.mk#L12 中的 https://github.com/rustwasm/wasm-pack 版本（搜索 WASM_PACK_VERSION）。
  • 在 Linux aarch64（64 位 ARM）架构上，需手动安装 https://github.com/WebAssembly/binaryen%EF%BC%88%E5%8C%85%E5%90%AB wasm-opt）。可通过运行 which wasm-opt 检查系统是否已安装。如未安装，可通过 apt-get install binaryen（适用于基于 Debian 的 Linux）安装。在其他平台上，wasm-pack 会自动安装此工具。

有关 Mac 上开发环境设置的示例，请参见 这些说明。

执行构建

[!IMPORTANT]

• Go 编译器对内存量较为敏感：编译 Teleport 至少需要 1GB 虚拟内存。没有交换空间的 512MB 实例 无法 正常工作。
• 这将构建 Teleport 的最新版本，无论 其是否稳定。如果您想构建最新的稳定版本，请在执行构建 之前 运行 git checkout 和 git submodule update --recursive 切换到相应的标签（例如，运行 git checkout v8.0.0）。

获取源代码

git clone https://github.com/gravitational/teleport.git
cd teleport

执行构建

make full

构建启用 Apple TouchID 支持的 tsh：

[!IMPORTANT]

启用 Touch ID 支持的 tsh 二进制文件仅在使用 Teleport 的 Apple Developer ID 签名并经过 Apple 公证的情况下才能正常工作。如果您是 Teleport 维护者，请向团队申请访问权限。

make build/tsh TOUCHID=yes

构建带 libfido 的 tsh：

make build/tsh FIDO2=dynamic

• 在 Mac 上，通过 homebrew 安装 libfido 和 openssl 3 后：

export PKG_CONFIG_PATH="$(brew --prefix openssl@3)/lib/pkgconfig"
make build/tsh FIDO2=dynamic

构建输出与本地运行

如果构建成功，安装程序会将二进制文件放置在 build 目录中。

启动前，创建默认数据目录：

sudo mkdir -p -m0700 /var/lib/teleport
sudo chown $USER /var/lib/teleport

以热重载模式运行 Teleport

为加快开发过程，您可以使用 https://github.com/githubnemo/CompileDaemon 运行 Teleport。它将构建并运行 Teleport 二进制文件，然后在任何 Go 源文件更改时重新构建并重启。

1. 安装 CompileDaemon：

go install github.com/githubnemo/CompileDaemon@latest

注意，我们使用 go install 而非建议的 go get，因为我们不希望 CompileDaemon 成为项目的依赖项。

2. 构建并运行 Teleport 二进制文件：

make teleport-hot-reload

默认情况下，这会运行 teleport start 命令。如果您想自定义命令（例如指定自定义配置文件路径），可以使用 TELEPORT_ARGS 参数：

make teleport-hot-reload TELEPORT_ARGS='start --config=/path/to/config.yaml'

注意，如果修改了任何 Protocol Buffers 文件，仍需运行 make grpc 以重新生成 Go 源代码；这些源代码的重新生成会触发 CompileDaemon 重新构建并重启 Teleport。

Web UI

许可证

Teleport 以多种形式分发，具有不同的许可含义。

Teleport API 模块（本仓库中 /api 目录下的所有代码）采用 Apache 2.0 许可证。

本仓库中其余源代码采用 GNU Affero General Public License。从源代码编译 Teleport 的用户必须遵守此许可证的条款。

在 [***] 上分发的 Teleport Community Edition 构建版本采用 修改后的 Apache 2.0 许可证。