시크릿 개념

• 기밀 정보를 컨테이너로 전달하기 위해 사용한다.
• 도커 빌드 시 또는 매니페스트를 통해 전달할 경우 기밀 정보가 포함되어 보안상 위험하다.
• 시크릿을 정의하고 있는 매니페스트는 base64로 인코드되어 있지만 암호화되어 있지 않아 매니페스트를 깃 저장소 등에 업로드하는 것은 불가능한다.
  • kubesec/SealedSecret/ExternalSecret 같은 오픈 소스 소프트웨어를 통해 가능하다.

시크릿 분류

• 직접 시크릿을 생성하는 명령어 : kubectl create secret generic --type

Opaque : 일반적인 범용 용도

• 일반 사용자명과 패스워드 같은 인증 정보 등은 스키마리스(스키마가 없는 데이터 구조)로 정의가능한 type: Opaque 사용
• Opaque 타입 이외의 리소스에는 스키마가 정해져 있다.
• Opaque 타입 생성 패턴

  1. kubectl로 파일에서 값을 참조하여 생성(--from-file)

     • 일반적으로 파일명이 그대로 키가 되기 때문에 확장자는 붙이지 않는 것이 좋다. (username.txt 대신 usename)
     • 확장자를 붙일 경우 --from-file=username=username.txt 등과 같이 지정한다.
     • 파일을 생성할 때 개행 코드가 들어가지 않도록 주의해야 한다.
       • echo -n 출력 결과를 리다이렉트하여 파일에 쓰는 방법 사용

  2. kubectl로 envfile에서 값을 참조하여 생성(--from-env-file)

     • 도커나 쿠버네티스에서 사용 가능한 envfile 예제(env-secret.txt)

       username=root
       password=rootpassword
       

     • env 파일로 시크릿 생성

       kubectl create secret generic --save-config sample-db-auth \\
       --from-env-fild ./env-secret.txt
       

  3. kubectl로 직접 값을 전달하여 생성(--from-literal)

     kubectl create secret generic --save-config sample-db-auth \\
     --from-literal=username=root --from-literal=password=rootpassword
     

  4. 매니페스트에서 생성(-f)

     • 매니페스트에서 생성하는 경우 base64로 인코드 한 값을 매니페스트에 추가한다.

     apiVersion: v1
     kind: Secret
     metadata:
     	name: sample-db-auth
     type: Opaque
     data:
     	username: cm9vdA== # root
     	password: cm9vdHBhc3N3b3Jk # rootpassword
     

     • 시크릿 매니페스트를 쿠버네티스에 등록할 수 없는 경우에는 base64로 제대로 인코드되었는지 확인한다.
     • 시크릿 매니페스트는 data가 아닌 stringData 필드를 사용하면 일반 텍스트로 작성할 수 있다.
       • stringData와 data를 모두 설정한 경우에는 stringData 필드가 우선순위가 높다

     apiVersion: v1
     kind: Secret
     metadata:
     	name: sample-db-auth-nobase64
     type: Opaque
     stringData:
     	username: root
     	password: rootpassword
     

kubenetes.io/tls : TLS 인증서용

• TLS 타입 시크릿은 인그레스 리소스 등에서 사용하는 것이 일반적이다.
• TLS 타입의 시크릿인 경우도 매니페스트로 생성할 수 있지만, 기본저긍로 비밀키와 인증서 파일로 생성하는 것을 추천한다.
• 비밀키와 인증서 파일로 생성(--key/--cert)
  • kubectl create secret tls --save-config tls-sample --key ~/tls.key --cert ~/tls.crt

kubenetes.io/basic-auth : 기본 인증용

• 사용자명과 패스워드로 인증하는 시스템을 사용하는 경우 기본 인증요 스키마를 가진 시크릿을 생성한다.

• kubectl로 직접 값을 전달하여 생성(--from-literal)

  # 직접 옵션에서 type과 값을 지정하여 시크릿 생성
  kubectl create secret generic --save-config sample-basic-auth \\
  --type kubernetes.io/basic-auth \\
  --from-literal=username=root --from-literal=password=rootpassword
  

• 매니페스트에서 생성(-f)

  apiVersion: v1
  kind: Secret
  metadata:
  	name: sample-basic-auth
  type: kubernetes.io/basic-auth
  data:
  	username: cm9vdA== # root
  	password: cm9vdHBhc3N3b3Jk #rootpassword
  

kubenetes.io/dockerconfigjson : 도커 레지스트리 인증 정보용