[Ep.19] [Argo CD 배포 & 자동화 #4] Argo CD와 외부 시크릿 관리(Sealed Secrets & External Secrets)

Kubernetes Tools/ArgoCD

[Ep.19] [Argo CD 배포 & 자동화 #4] Argo CD와 외부 시크릿 관리(Sealed Secrets & External Secrets)

ygtoken 2025. 3. 17. 13:09

728x90

🔹 시크릿(Secret) 관리란?

Kubernetes에서는 시크릿(Secret) 객체를 사용하여 API 키, 데이터베이스 비밀번호, 인증 토큰 등의 민감한 정보를 관리합니다.
그러나 Kubernetes의 기본 Secret 리소스는 Base64 인코딩된 형태로 저장되므로 보안에 취약합니다.

✅ GitOps 환경에서 시크릿을 안전하게 관리하려면?
✔ Git 저장소에 시크릿을 직접 저장하면 안 됨
✔ GitOps 기반의 CI/CD 파이프라인에서도 보안성을 유지해야 함
✔ 변경된 시크릿이 자동으로 Kubernetes에 반영되도록 구성해야 함

이를 해결하기 위해 Sealed Secrets과 External Secrets 같은 솔루션을 활용할 수 있습니다.

🔹 기본 Kubernetes Secret의 한계

Kubernetes의 기본 Secret 리소스는 다음과 같이 정의됩니다.

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
  namespace: default
type: Opaque
data:
  username: YWRtaW4=  # "admin"을 Base64 인코딩
  password: cGFzc3dvcmQ=  # "password"를 Base64 인코딩

✅ 문제점:
❌ Base64 인코딩이므로 쉽게 디코딩 가능 → 보안 취약
❌ GitOps 환경에서 Secret을 Git에 저장할 수 없음
❌ Secret 변경 사항이 GitOps 파이프라인에서 자동으로 반영되지 않음

이를 해결하기 위해 Sealed Secrets과 External Secrets을 사용합니다.

🔹 Sealed Secrets: Git 저장소에 안전하게 시크릿 저장

Sealed Secrets는 Bitnami의 Sealed Secrets 컨트롤러를 사용하여 Git 저장소에 안전하게 시크릿을 저장하는 방식입니다.
이 방식에서는 Kubernetes 클러스터의 컨트롤러가 암호화 및 복호화 작업을 수행합니다.

✅ 1. Sealed Secrets 컨트롤러 설치

kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/latest/download/controller.yaml

✅ 설치 확인:

kubectl get pods -n kube-system | grep sealed-secrets

✅ 2. 시크릿을 Sealed Secret으로 변환하기

kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=mypassword -n default --dry-run=client -o yaml > my-secret.yaml

🔹 Sealed Secrets로 변환

kubeseal --controller-name=sealed-secrets --controller-namespace=kube-system --format=yaml < my-secret.yaml > my-sealed-secret.yaml

✅ Git 저장소에 안전하게 저장할 수 있는 Sealed Secret 예제:

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  name: my-secret
  namespace: default
spec:
  encryptedData:
    username: AgB0z...encrypted-value...  # 암호화된 값
    password: AgC2h...encrypted-value...

✅ 배포 후 Sealed Secret이 자동 복호화됨:

kubectl get secret my-secret -n default -o yaml

✅ Sealed Secrets의 장점:
✔ GitOps와 완벽하게 호환됨
✔ Git 저장소에 저장해도 안전함 (복호화 불가능)
✔ Kubernetes 클러스터에서 자동 복호화 가능

🔹 External Secrets: 외부 비밀 저장소와 연동

External Secrets은 AWS Secrets Manager, HashiCorp Vault, Azure Key Vault 같은 외부 시크릿 저장소를 Kubernetes 시크릿과 연동하는 방식입니다.
즉, 시크릿을 Kubernetes가 아닌 클라우드 기반의 안전한 저장소에서 관리할 수 있습니다.

✅ 1. External Secrets Operator 설치

kubectl apply -f https://github.com/external-secrets/external-secrets/releases/latest/download/install.yaml

✅ 설치 확인:

kubectl get pods -n external-secrets

✅ 2. AWS Secrets Manager와 연동 예제

✅ AWS IAM 정책 추가 (AWS CLI 사용)

aws iam attach-role-policy --role-name my-role --policy-arn arn:aws:iam::aws:policy/AmazonSecretsManagerReadOnly

✅ Kubernetes에서 AWS Secrets Manager 연동 설정

apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: my-external-secret
  namespace: default
spec:
  refreshInterval: 1h  # 1시간마다 시크릿을 동기화
  secretStoreRef:
    name: my-secret-store
    kind: ClusterSecretStore
  target:
    name: my-secret  # Kubernetes에서 생성될 시크릿 이름
  data:
    - secretKey: password  # Kubernetes 시크릿에서 사용될 키
      remoteRef:
        key: my-secret-key  # AWS Secrets Manager의 키

✅ External Secrets의 장점:
✔ 시크릿을 Git 저장소에 저장할 필요 없음
✔ 클라우드 기반의 보안 기능을 활용 가능
✔ 자동 동기화로 변경 사항이 즉시 반영됨

🔹 Argo CD에서 Sealed Secrets 및 External Secrets 관리

Argo CD는 GitOps 방식으로 Sealed Secrets 및 External Secrets을 자동 배포할 수 있습니다.

✅ Sealed Secrets 관리 예제

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: sealed-secrets
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git
    targetRevision: main
    path: secrets
  destination:
    server: https://kubernetes.default.svc
    namespace: default
  syncPolicy:
    automated:
      prune: true
      selfHeal: true

✅ External Secrets 관리 예제

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: external-secrets
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git
    targetRevision: main
    path: external-secrets
  destination:
    server: https://kubernetes.default.svc
    namespace: default
  syncPolicy:
    automated:
      prune: true
      selfHeal: true

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 기본 Kubernetes Secret은 보안이 취약하여 GitOps 환경에서 그대로 사용하기 어려움
🟢 Sealed Secrets를 사용하면 시크릿을 Git 저장소에 안전하게 저장할 수 있음
🟢 External Secrets는 AWS Secrets Manager, Vault 등의 외부 시크릿 저장소와 Kubernetes를 연동하여 보안을 강화할 수 있음
🟢 Argo CD는 Sealed Secrets 및 External Secrets과 완벽하게 통합되어 GitOps 환경에서 안전한 배포를 지원

728x90

저작자표시 비영리 변경금지 (새창열림)

'Kubernetes Tools > ArgoCD' 카테고리의 다른 글

[Ep.21] [Argo CD 보안 & 확장 #1] Argo CD와 RBAC(Role-Based Access Control) 설정 (0)	2025.03.17
[Ep.20] [Argo CD 배포 & 자동화 #5] Argo CD Notifications로 Slack 및 이메일 알림 설정 (0)	2025.03.17
[Ep.18] [Argo CD 배포 & 자동화 #3] Argo CD에서 Helm과 Kustomize를 활용한 배포 자동화 (0)	2025.03.17
[Ep.17] [Argo CD 배포 & 자동화 #2] Argo CD와 Argo Rollouts를 활용한 블루-그린 및 카나리 배포 (0)	2025.03.17
[Ep.16] [Argo CD 배포 & 자동화 #1] Argo CD와 GitOps를 활용한 완전 자동화 배포 구축 (0)	2025.03.17

현재글[Ep.19] [Argo CD 배포 & 자동화 #4] Argo CD와 외부 시크릿 관리(Sealed Secrets & External Secrets)

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

k8s, Security, langchain, 서비스메시, DevOps, 쿠버네티스, 파이썬, Istio, gitops, Minio, kubernetes, argocd, YAML, 서비스_운영, DaemonSet, CI/CD, Python, RAG, Cilium, statefulset,

Today :
Yesterday :

일	월	화	수	목	금	토
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

YG Tech Blog