11. Secret

11. Secret

2021. 5. 9. 11:52ㆍ🎯 OpenSource/K8S

7.5 시크릿으로 민감한 데이터 전달하기

보안이 유지되어야 하는 데이터(자격증명, 개인 암호화키 등)은 Secret이라는 오브젝트를 통해 관리한다.

7.5.1 Secret 소개

ConfigMap과 유사한 key-value 쌍으로 ConfigMap과 동일한 방식으로 사용 가능.
다음과 같은 상황에서 사용한다.
- 환경변수로 Secret 항목을 컨테이너에 전달
- Secret 항목을 볼륨 파일로 노출
Secret을 사용해야 하는 파드가 있는 노드에만 개별적으로 시크릿을 배포할 수 있다.
노드 자체적으로 시크릿을 메모리에만 저장하고, 물리 저장소에는 저장하지 않는다. (wiping 방지)

ConfigMap과 Secret을 적재적소에 사용하는 것이 필요하다.

민감하지 않은 일반 설정 데이터 : 컨피그맵
민감한 데이터 : 시크릿
만약 설정파일이 민감한 데이터 + 일반 데이터 : 해당 파일을 시크릿 안에 저장

7.5.2 기본 토큰 소개

모든 파드에는 secret 볼륨이 /var/run/secrets/kubernetes.io/serviceaccout 디렉터리에 마운트되어 있다.

root@master001:~/Chapter07# kubectl describe pod fortune-configmap-volume | grep secret
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-xgl85 (ro)
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-xgl85 (ro)

조회된 시크릿 default-token-xgl85를 살펴본다. 이러한 default-token 시크릿은 모든 컨테이너에 기본적으로 마운트되는 것이다.

root@master001:~/Chapter07# kubectl get secrets default-token-xgl85
NAME                  TYPE                                  DATA   AGE
default-token-xgl85   kubernetes.io/service-account-token   3      69d


root@master001:~/Chapter07# kubectl describe secrets default-token-xgl85
Name:         default-token-xgl85
Namespace:    default
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: default
              kubernetes.io/service-account.uid: 10eba40f-2402-45c8-9355-0bbaa753a4ee

Type:  kubernetes.io/service-account-token

Data
====
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IjdRWUpZYjlncElyclZfY3FsSnZiMDZVTG1zdGNRTHg1WkZQZE5UN3N3ZEUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRlZmF1bHQtdG9rZW4teGdsODUiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGVmYXVsdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjEwZWJhNDBmLTI0MDItNDVjOC05MzU1LTBiYmFhNzUzYTRlZSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OmRlZmF1bHQifQ.Ew2zNJJHWq7sfA7h5An2Ke0wASQ_ASCNHiIB4AR6KHwSRsvm9JQx0IoEZqeinvcnSbJ5MEgwSxsuj7kLRoPG6wsOp3CjG2MfM7946MsSM78PmJY1XkRsEqJLIYQ-umV4NNNyFQ0IEcgnqov28bY8KXfRel6iXNgzMMmMpOjomliSDjdd6t7BD4sq2p3TJa_aAQmOAGEQY0NKrt9kU64O2gBgbq-dS5W31c53me0FUEGAzHMIQJUolfKyNwD15ze9S-_98NMDh-GDqpvljBBX86arW1tAsr959PuYcrVhPewXbVSKQaeVkcE4n3C03qJz9dedCzF8x28fMgCTSDEKGA
ca.crt:     1066 bytes
namespace:  7 bytes

시크릿이 가지는 세가지 항목(ca.crt, namespace, token)은 pod 안에서 쿠버네티스 API 서버와 통신할 때 필요한 데이터이다.

애플리케이션과 쿠버네티스를 분리하는것이 이상적이지만, 직접 통신이 꼭 필요한 경우는 secret 볼륨을 이용한다.

컨테이너의 해당 경로에 default secret 볼륨에 마운트 됨으로써 접근하는 파일이 있는걸 볼 수 있다.

root@master001:~/Chapter07# kubectl exec fortune-configmap-volume ls /var/run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

7.5.3 시크릿 생성

시크릿을 생성하여 fortune-serving Nginx 컨테이너가 HTTPS 트래픽을 제공할 수 있도록 개선한다.

1) 인증서와 개인 키 파일 생성

root@master001:~/Chapter07# openssl genrsa -out https.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
....................+++++
...........................................................................+++++
e is 65537 (0x010001)

root@master001:~/Chapter07# openssl req -new -x509 -key https.key -out https.cert -days 3650 -subj /CN=www.kubia-example.com

2) 더미 파일 생성

root@master001:~/Chapter07# echo bar > foo

3) 시크릿 생성

root@master001:~/Chapter07# kubectl create secret generic fortune-https2 --from-file=https.key --from-file=https.cert --from-file=foo
secret/fortune-https2 created

root@master001:~/Chapter07# kubectl describe secrets fortune-https2
Name:         fortune-https2
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
foo:         4 bytes
https.cert:  1147 bytes
https.key:   1675 bytes

시크릿의 데이터는 Base64 형태로 인코딩되어 저장되며, 컨테이너에 전달될 때는 디코딩되어 전달된다.

7.5.4 ConfigMap과 Secret 비교

시크릿 항목의 내용은 Base64로 인코딩되어 있으며, 컨피크맵의 내용은 일반 텍스트이다.

Base64 인코딩을 사용해 바이너리 데이터를 일반 텍스트 형식인 yaml이나 json에 넣을 수 있다.

root@master001:~/Chapter07# kubectl describe secrets fortune-https2
Name:         fortune-https2
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
foo:         4 bytes
https.cert:  1147 bytes
https.key:   1675 bytes

root@master001:~/Chapter07# kubectl get secret fortune-https2 -o yaml
apiVersion: v1
data:
  foo: YmFyCg==
  https.cert: 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
  https.key: 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
kind: Secret

root@master001:~/Chapter07# kubectl get configmap fortune-config -o yaml
apiVersion: v1
data:
  my-nginx-config.conf: |
    server {
        listen              80;
        server_name         www.kubia-example.com;

        gzip off;
        gzip_types text/plain application/xml;

        location / {
            root   /usr/share/nginx/html;
            index  index.html index.htm;
        }

    }
  sleep-interval: |
    25

StringData 필드 소개

시크릿 값은 string data 필드로 설정할 수도 있다.

StringData 필드는 쓰기 전용으로, 값을 설정할 때만 사용할 수 있다.

7.5.5 파드에서 시크릿 사용하기

인증서와 키 파일을 모두 포함하는 fortune-https 시크릿을 Nginx에서 사용할 수 있도록 설정한다.

  my-nginx-config.conf: |
    server {
        listen              80;
        listen              443;
        server_name         www.kubia-example.com;

        # 각 경로는 /etc/nginx 를 기준으로 지정하여 웹서버가 인증서 및 키파일을 /etc/nginx/certs 에서 읽도록 한다.
        ssl_certificate       certs/https.cert;
        ssl_certificate_key   certs/https.key;
        ssl_protocols         TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers           HIGH:!aNULL:!MD5;

        location / {
            root   /usr/share/nginx/html;
            index  index.html index.htm;
        }

    }

Secret 볼륨을 /etc/nginx/cers 경로에 마운트한다.

apiVersion: v1
kind: Pod
metadata:
  name: fortune-https
spec:
  containers:
    ...
    - image: nginx:alpine
      name: web-server
      volumeMounts:
        - name: config
          mountPath: /etc/nginx/conf.d
          readOnly: true
        # 인증서 및 키 파일을 읽는 경로에 시크릿 볼륨을 마운트
        - name: certs
          mountPath: /etc/nginx/certs/
          readOnly: true
      ...
  volumes:
    - name: config
      configMap:
        name: fortune-config
        items:
          - key: my-nginx-config.conf
            path: https.conf
    # fortune-https 시크릿을 참조하도록 시크릿 볼륨을 정의
    - name: certs
      secret:
        secretName: fortune-https

왜 시크릿 볼륨은 메모리에 저장되는가?

secret 볼륨은 인메모리 파일시스템 tempfs를 사용해 저장된다.

tmpfs를 사용하는 이유는 민감한 데이터를 디스크에 저장하기 않아 외부로의 노출을 최소화하기 위해서이다.

root@master001:~/Chapter07# kubectl exec fortune-https -c web-server -- mount | grep certs
tmpfs on /etc/nginx/certs type tmpfs (ro,relatime)

7.5.6 이미지를 가져올 때 사용하는 시크릿

컨테이너 이미지가 프라이빗 레지스트리에 있으면 쿠버네티스는 이미지를 가져오는데 필요한 자격증명을 알아야 한다.

프라이빗 저장소를 사용하는 pod를 실행하려면 두 가지 작업이 필요하다.

도커 레지스트리 자격증명 가진 시크릿 생성
파드 매니페스트 안에 imagePullSecrets 필드에 해당 시크릿 참조

도커 레지스트리 형식의 시크릿 생성

root@master001:~/Chapter07# kubectl create secret docker-registry mydockerhubsecret \
>   --docker-username=myusername --docker-password=mypassword \
>   --docker-email=my.email@provider.com
secret/mydockerhubsecret created


root@master001:~/Chapter07# kubectl describe secrets mydockerhubsecret
Name:         mydockerhubsecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

pod 의 yaml 파일에 해당 시크릿의 이름을 지정한다.

apiVersion: v1
kind: Pod
metadata:
  name: private-pod
spec:
  # 프라이빗 이미지 레지스트리에서 이미지 가져오도록 설정
  imagePullSecrets:
    - name: mydockerhubsecret
  containers:
    - image: username/private:tag
      name: main

이로써 private registry에 있는 이미지를 pull 해 올 수 있게 된다.

'🎯 OpenSource > K8S' 카테고리의 다른 글

[K8S] Service (NodePort / ClusterIP / LoadBalancer) (0)	2022.11.14
12. Accessing to Pod metadata from application (2)	2021.05.09
10. ConfigMap (0)	2021.05.08
09. Job으로 완료 가능한 단일 task 구현하기 (0)	2021.04.05
08. DaemonSet (0)	2021.04.05

IT Newbie

태그

최근글

댓글

공지사항

아카이브