1. ConfigMap, Secret 이란?
- ConfigMap, Secret은 Kubernetes 클러스터의 기본 개체로서, 파드 내에서 참조할 환경변수를 생성하는 리소스이다.
- 각 리소스마다 특성과 사용 목적이 다르다.
- Kubernetes RBAC에 연결되어 승인된 사용자와 애플리케이션만 ConfigMap, Secret의 정보를 읽을 수 있다.
- ConfigMap 소개
- Secret 소개
1-1. ConfigMap
- ConfigMap은 키-값 쌍으로 기밀이 아닌 데이터를 저장하는 데 사용하는 API 오브젝트이다.
- 파드는 볼륨에서 환경 변수, 커맨드-라인 인수 또는 구성 파일로 ConfigMap을 사용할 수 있다.
- ConfigMap은 데이터를 평문으로 저장하며 보안 또는 암호화를 제공하지 않는다.
- 저장하려는 데이터가 기밀인 경우, ConfigMap 대신 Secret 또는 Third-Party 도구를 사용하여 데이터를 비공개로 유지해야 한다.
1-2. Secret
- 암호, 토큰 또는 키와 같은 중요한 데이터를 포함하는 오브젝트이다.
- Secret은 ConfigMap과 유사하지만 특별히 기밀 데이터를 보관하기 위한 것이다.
- Secret은 base64로 인코딩하여 데이터를 저장한다.
- Secret은 기본적으로 API 서버의 기본 데이터 저장소(etcd)에 암호화되지 않은 상태로 저장된다. API 접근(access) 권한이 있는 모든 사용자 또는 etcd에 접근할 수 있는 모든 사용자는 시크릿을 조회하거나 수정할 수 있다. 또한 네임스페이스에서 파드를 생성할 권한이 있는 사람은 누구나 해당 접근을 사용하여 해당 네임스페이스의 모든 시크릿을 읽을 수 있다. 이를 해결하기 위해서 하기 두 가지 방법이 사용할 수 있다.
- IaaS 형태의 Kubernetes → secret 데이터 저장소인 etcd를 암호화한다.
- PaaS 형태의 Kubernetes (AKS, EKS 등) → Azure Key vault, AWS Secrets Manager 등의 외부 시크릿 저장소를 이용한 암호화 방식 사용한다.
2. Azure Keyvault 이란?
- Azure Key Vault는 secret을 안전하게 저장하고 액세스하기 위한 클라우드 서비스이다.
- 비밀 저장소 CSI 드라이버용 Azure Key Vault 공급자를 사용하면 Azure Key Vault를 CSI 볼륨을 통해 AKS(Azure Kubernetes Service) 클러스터와 비밀 저장소로 통합할 수 있다.
- Azure Keyvault 소개
- 관련 내용: Azure Key Vault Provider for Secrets Store CSI Driver 테스트
참고
[AKS] Azure Key Vault Provider for Secrets Store CSI Driver 테스트
1. Secret store CSI Driver 설치 Secrets Store CSI Driver: Kubelet의 모든 인스턴스와의 통신을 용이하게 하는 데몬셋이다. kubectl get pods -n kube-system -l 'app in (secrets-store-csi-driver,secrets-store-provider-azure)' # 설치가
lilylabs.tistory.com
'Container > Kubernetes' 카테고리의 다른 글
| [Kubernetes] Secret 데이터 암호화 (0) | 2024.05.13 |
|---|---|
| [Kubernetes] Secret 생성 및 조회 (0) | 2024.05.08 |
| [Kubernetes] Kubespray로 쿠버네티스 설치 (1) | 2024.05.02 |
| [Kubernetes] ELK Stack 개념 (0) | 2024.04.29 |
| [Kubernetes] Probe - Liveness, Readiness, Startup (0) | 2024.04.08 |
1. ConfigMap, Secret 이란?
- ConfigMap, Secret은 Kubernetes 클러스터의 기본 개체로서, 파드 내에서 참조할 환경변수를 생성하는 리소스이다.
- 각 리소스마다 특성과 사용 목적이 다르다.
- Kubernetes RBAC에 연결되어 승인된 사용자와 애플리케이션만 ConfigMap, Secret의 정보를 읽을 수 있다.
- ConfigMap 소개
- Secret 소개
1-1. ConfigMap
- ConfigMap은 키-값 쌍으로 기밀이 아닌 데이터를 저장하는 데 사용하는 API 오브젝트이다.
- 파드는 볼륨에서 환경 변수, 커맨드-라인 인수 또는 구성 파일로 ConfigMap을 사용할 수 있다.
- ConfigMap은 데이터를 평문으로 저장하며 보안 또는 암호화를 제공하지 않는다.
- 저장하려는 데이터가 기밀인 경우, ConfigMap 대신 Secret 또는 Third-Party 도구를 사용하여 데이터를 비공개로 유지해야 한다.
1-2. Secret
- 암호, 토큰 또는 키와 같은 중요한 데이터를 포함하는 오브젝트이다.
- Secret은 ConfigMap과 유사하지만 특별히 기밀 데이터를 보관하기 위한 것이다.
- Secret은 base64로 인코딩하여 데이터를 저장한다.
- Secret은 기본적으로 API 서버의 기본 데이터 저장소(etcd)에 암호화되지 않은 상태로 저장된다. API 접근(access) 권한이 있는 모든 사용자 또는 etcd에 접근할 수 있는 모든 사용자는 시크릿을 조회하거나 수정할 수 있다. 또한 네임스페이스에서 파드를 생성할 권한이 있는 사람은 누구나 해당 접근을 사용하여 해당 네임스페이스의 모든 시크릿을 읽을 수 있다. 이를 해결하기 위해서 하기 두 가지 방법이 사용할 수 있다.
- IaaS 형태의 Kubernetes → secret 데이터 저장소인 etcd를 암호화한다.
- PaaS 형태의 Kubernetes (AKS, EKS 등) → Azure Key vault, AWS Secrets Manager 등의 외부 시크릿 저장소를 이용한 암호화 방식 사용한다.
2. Azure Keyvault 이란?
- Azure Key Vault는 secret을 안전하게 저장하고 액세스하기 위한 클라우드 서비스이다.
- 비밀 저장소 CSI 드라이버용 Azure Key Vault 공급자를 사용하면 Azure Key Vault를 CSI 볼륨을 통해 AKS(Azure Kubernetes Service) 클러스터와 비밀 저장소로 통합할 수 있다.
- Azure Keyvault 소개
- 관련 내용: Azure Key Vault Provider for Secrets Store CSI Driver 테스트
참고
[AKS] Azure Key Vault Provider for Secrets Store CSI Driver 테스트
1. Secret store CSI Driver 설치 Secrets Store CSI Driver: Kubelet의 모든 인스턴스와의 통신을 용이하게 하는 데몬셋이다. kubectl get pods -n kube-system -l 'app in (secrets-store-csi-driver,secrets-store-provider-azure)' # 설치가
lilylabs.tistory.com
'Container > Kubernetes' 카테고리의 다른 글
| [Kubernetes] Secret 데이터 암호화 (0) | 2024.05.13 |
|---|---|
| [Kubernetes] Secret 생성 및 조회 (0) | 2024.05.08 |
| [Kubernetes] Kubespray로 쿠버네티스 설치 (1) | 2024.05.02 |
| [Kubernetes] ELK Stack 개념 (0) | 2024.04.29 |
| [Kubernetes] Probe - Liveness, Readiness, Startup (0) | 2024.04.08 |
