11장 시크릿

Assembled by GimunLee

시크릿 개념

• 시크릿은 비밀번호, OAuth 토근, SSH 키 같은 민감한 정보들을 저장하는 용도로 사용
• 시크릿은 컨테이너 안에 저장하지 않고 별도 보관했다가 실제 파드를 실행할 때의 템플릿으로 컨테이너 제공
• 시크릿은 내장 시크릿과 사용자 정의 시크릿으로 구분
  • 내장 시크릿: 쿠버네티스 클러스터 안에서 쿠버네티스 API에 접근할 때 사용, 클러스터 안에서 사용하는 ServiceAccount라는 계정을 생성하면 자동으로 관련 시크릿 생성하고 이 시크릿으로 허용된 API에 접근 가능
  • 사용자 정의 시크릿: 사용자가 만든 시크릿

명령으로 시크릿 만들기

1. 사용자 이름과 비밀번호를 설정하는 파일 생성

   $ echo -n 'username' > ./username.txt
   $ echo -n 'password' > ./password.txt
   

2. 시크릿 생성 // 자동으로 base64 문자 인코딩

   $ kubectl create secret generic user-pass-secret --from-file=./username.txt
   

3. 생성한 시크릿 확인

   $ kubectl get secret user-pass-secret -o yaml
   

4. 디코딩해서 확인

   $ echo {인코딩된값} | base64 --decode
   

템플릿으로 시크릿 만들기

apiVersion: v1
kind: Secret
metadata:
  name: user-pass-yaml
type: Opaque # 기본값
data:
  username: dXNlcm5hbWU=
  password: cGFzc3dvcmQ=

• 시크릿 타입
  • Opaque: 기본값으로 키-값 형식으로 임의의 데이터를 설정할 수 있음
  • kubernetes.io/service-account-token: 쿠버네티스 인증 토큰을 저장함
  • kubernetes.io/dockerconfigjson: 도커 저장소 인증 정보를 저장함
  • kubernetes.io/tls: TLS 인증서를 저장함

시크릿 사용하기

파드의 환경 변수로 시크릿 사용하기

apiVersion: apps/v1
kind: Deployment
metadata:
  name: secretapp
  labels:
    app: secretapp
spec:
  replicas: 1
  selector:
    matchLabels:
      app: secretapp
  template:
    metadata:
      labels:
        app: secretapp
    spec:
      containers:
      - name: testapp
        image: arisu1000/simple-container-app:latest
        ports:
        - containerPort: 8080
        env:
        - name: SECRET_USERNAME # 환경 변수 이름 설정
          valueFrom: 
            secretKeyRef:
              name: user-pass-yaml # 시크릿의 이름
              key: username # 키 값
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: user-pass-yaml
              key: password
---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: secretapp
  name: secretapp-svc
  namespace: default
spec:
  ports:
  - nodePort: 30900
    port: 8080
    protocol: TCP
    targetPort: 8080
  selector:
    app: secretapp
  type: NodePort

볼륨 형식으로 파드에 시크릿 제공하기

apiVersion: apps/v1
kind: Deployment
metadata:
  name: secretapp
  labels:
    app: secretapp
spec:
  replicas: 1
  selector:
    matchLabels:
      app: secretapp
  template:
    metadata:
      labels:
        app: secretapp
    spec:
      containers:
      - name: testapp
        image: arisu1000/simple-container-app:latest
        ports:
        - containerPort: 8080
        volumeMounts:
        - name: volume-secret
          mountPath: "/etc/volume-secret" # 시크릿 설정 내용을 파일 형태로 저장
          readOnly: true # 볼륨을 읽기 전용으로 사용
      volumes:
      - name: volume-secret
        secret:
          secretName: user-pass-yaml # 필드 값 설정
---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: secretapp
  name: secretapp-svc
  namespace: default
spec:
  ports:
  - nodePort: 30900
    port: 8080
    protocol: TCP
    targetPort: 8080
  selector:
    app: secretapp
  type: NodePort

프라이빗 컨테이너 이미지를 가져올 때 시크릿 사용하기

• 보통 컨테이너 이미지를 가져올 때는 대부분 공개된 이미지를 사용
• 프라이빗 컨테이너 이미지를 사용하려면 인증 정보가 필요한데 이 인증 정보를 시크릿에 설정해 저장한 후 사용

시크릿으로 TLS 인증서를 저장해 사용하기

• HTTPS 인증서를 저장하는 용도로 시크릿 사용 가능

$ kubectl create secret tls tlssecret --key tls.key --cert tls.crt

시크릿 데이터 용량 제한

• 시크릿 데이터는 etcd에 암호화하지 않은 텍스트로 저장되는데, 이때 시크릿 데이터의 용량이 너무 크면 쿠버네티스의 kube-apiserver나 kubelet의 메모리 용량을 많이 차지. 개별 시크릿 데이터의 최대 용량은 1MB

• 누군가 etcd에 직접 접근한다면 시크릿 데이터의 내용뿐 아니라 다른 중요한 데이터를 확인 가능

• 중요한 서비스에 쿠버네티스를 사용 중이라면 etcd 접근을 제한하고 기본적으로 etcd를 실행할 때 etcd 관련 명령을 사용하는 API 통신에 TLS 인증이 적용되어 있으므로 인증서가 있는 사용자만 etcd에 접근해 관련 명령을 사용할 수 있음

• 그 외에 etcd가 실행 중인 마스터 자체에 직접 접속해서 데이터에 접근하는 것을 막으려고 마스터에 접근할 수 있는 사용자들을 계정 기반이나 IP 기반 접근 제어 등올 제한하는 방법 존재

• etcd에 저장되는 시크릿 데이터 암호화 가능

Referenses

• 쿠버네티스 입문 - 90가지 예제로 배우는 컨테이너 관리 자동화 표준 / 동양북스