[Ep.29] [Argo CD 성능 최적화 #6] Argo CD에서 보안 강화 및 RBAC 설정

🔹 Argo CD 보안 개요

Argo CD는 Kubernetes 애플리케이션을 GitOps 방식으로 배포하는 강력한 도구지만,
보안이 제대로 설정되지 않으면 무분별한 접근 및 권한 오남용으로 인해
시스템이 위험에 노출될 수 있습니다.

Argo CD의 보안 강화를 위해 RBAC(Role-Based Access Control)과 인증 메커니즘을 적절히 설정해야 합니다.

 

✅ Argo CD 보안 설정의 핵심 요소

 

보안 요소	설명
RBAC (Role-Based Access Control)	사용자 역할(Role)을 정의하여 접근 권한을 제한
SSO (Single Sign-On)	외부 인증 시스템(OAuth, OIDC, LDAP 등)과 연동
TLS & HTTPS	API 통신을 암호화하여 보안 강화
External Secrets	Kubernetes Secret을 안전하게 관리

---

🔹 1. Argo CD RBAC(Role-Based Access Control) 설정

Argo CD는 기본적으로 Admin, Read-Only 두 가지 역할을 제공하지만,
보안 강화를 위해 사용자 역할을 세분화하여 접근을 제한하는 것이 중요합니다.

✅ RBAC 설정 파일 예제 (argocd-rbac-cm.yaml)

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  policy.default: role:readonly  # 기본적으로 Read-Only 역할 부여

  policy.csv: |
    p, role:admin, applications, *, */*, allow  # 모든 애플리케이션을 관리할 수 있는 Admin 역할
    p, role:dev, applications, get, dev/*, allow  # 개발팀(Dev)에게 dev 네임스페이스 애플리케이션 조회 권한 부여
    p, role:ops, applications, sync, ops/*, allow  # 운영팀(Ops)에게 ops 네임스페이스 애플리케이션 동기화 권한 부여

    g, user1, role:dev  # user1은 Dev 역할 부여
    g, user2, role:ops  # user2는 Ops 역할 부여
    g, admin, role:admin  # admin 계정은 Admin 역할 부여

 

✅ 설명:
✔ policy.default: role:readonly → 기본적으로 모든 사용자는 Read-Only 권한을 가짐
✔ p, role:admin, applications, *, */*, allow → Admin은 모든 애플리케이션을 관리 가능
✔ p, role:dev, applications, get, dev/*, allow → Dev는 dev 네임스페이스의 애플리케이션만 조회 가능
✔ p, role:ops, applications, sync, ops/*, allow → Ops는 ops 네임스페이스에서 동기화(Sync)만 가능
✔ g, user1, role:dev → user1은 Dev 역할을 가짐

 

✅ RBAC 설정 적용 방법

kubectl apply -f argocd-rbac-cm.yaml -n argocd

 

✅ 현재 적용된 RBAC 정책 확인

kubectl get configmap argocd-rbac-cm -n argocd -o yaml

---

🔹 2. Argo CD에서 SSO(Single Sign-On) 연동

Argo CD는 외부 인증 시스템(OIDC, OAuth2, LDAP 등)과 연동하여
사용자가 중앙 인증 시스템을 통해 로그인할 수 있도록 지원합니다.

✅ OIDC(OpenID Connect) 기반 로그인 설정 예제

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-cm
  namespace: argocd
data:
  url: https://argocd.example.com  # Argo CD 접근 URL 설정

  dex.config: |
    connectors:
      - type: oidc
        id: google
        name: Google
        config:
          issuer: https://accounts.google.com
          clientID: 
          clientSecret: 
          redirectURI: https://argocd.example.com/auth/callback

✅ 설명:
✔ type: oidc → OIDC 인증을 사용하여 Google 계정 기반 로그인 활성화
✔ issuer: https://accounts.google.com → Google OAuth 인증을 사용
✔ redirectURI: https://argocd.example.com/auth/callback → 로그인 후 리디렉션될 URL

 

✅ OIDC 설정 적용 방법

kubectl apply -f argocd-cm.yaml -n argocd

 

✅ SSO 활성화 후 로그인 테스트
Argo CD 웹 UI → Settings → Login via Google 선택

---

🔹 3. Argo CD API 통신을 TLS로 보호

Argo CD API 서버와 CLI 간의 트래픽을 TLS(SSL)로 암호화하여 보안을 강화할 수 있습니다.

 

✅ TLS 인증서 자동 적용 (Let's Encrypt 사용)

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: argocd-tls
  namespace: argocd
spec:
  secretName: argocd-tls-secret
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - argocd.example.com

 

✅ 설명:
✔ secretName: argocd-tls-secret → TLS 인증서가 저장될 Secret 이름
✔ issuerRef.name: letsencrypt-prod → Let's Encrypt 인증서 발급 요청
✔ dnsNames: argocd.example.com → Argo CD에 할당된 도메인 설정

 

✅ TLS 설정 적용 방법

kubectl apply -f argocd-tls.yaml -n argocd

 

✅ TLS 적용 확인

kubectl get secret argocd-tls-secret -n argocd

---

🔹 4. Argo CD에서 External Secrets을 활용한 보안 강화

Kubernetes Secrets은 기본적으로 Base64 인코딩되어 저장되므로,
Sealed Secrets 또는 External Secrets을 활용하여 보안을 강화하는 것이 중요합니다.

 

✅ External Secrets을 활용하여 AWS Secrets Manager에서 시크릿 동기화

apiVersion: external-secrets.io/v1alpha1
kind: ExternalSecret
metadata:
  name: argocd-secret
  namespace: argocd
spec:
  secretStoreRef:
    name: aws-secrets-manager
    kind: ClusterSecretStore
  target:
    name: argocd-credentials
  data:
    - secretKey: admin.password
      remoteRef:
        key: /argocd/admin-password

 

✅ 설명:
✔ secretStoreRef: aws-secrets-manager → AWS Secrets Manager와 연동
✔ data.secretKey: admin.password → /argocd/admin-password 값을 Kubernetes Secret으로 동기화

 

✅ External Secrets 적용 방법

kubectl apply -f argocd-secret.yaml -n argocd

 

✅ 시크릿 동기화 확인

kubectl get secrets argocd-credentials -n argocd

---

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 Argo CD의 RBAC(Role-Based Access Control)을 설정하면 역할 기반 접근 제어 가능
🟢 OIDC(OAuth2)를 활용한 SSO(Single Sign-On) 연동으로 사용자 인증을 강화 가능
🟢 TLS(SSL) 설정을 통해 API 및 웹 UI 보안 강화 가능
🟢 External Secrets을 활용하여 시크릿을 안전하게 관리하고, Git에 저장하지 않아도 됨