[Ep.36] [Argo CD 운영 최적화 #6] Argo CD에서 Secret 및 ConfigMap 안전하게 관리하기

Kubernetes Tools/ArgoCD

[Ep.36] [Argo CD 운영 최적화 #6] Argo CD에서 Secret 및 ConfigMap 안전하게 관리하기

ygtoken 2025. 3. 17. 13:13

728x90

🔹 1. Argo CD에서 ConfigMap을 안전하게 관리하는 방법

✅ 환경별 ConfigMap 적용 (Kustomize 활용)

📌 기본 ConfigMap (base/configmap.yaml)

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config  # ConfigMap 이름
data:
  LOG_LEVEL: "info"  # 기본 로그 레벨
  DATABASE_URL: "postgres://db:5432/dev"  # 개발 환경 데이터베이스 URL

📌 운영 환경 오버레이 (overlays/prod/kustomization.yaml)

apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization
bases:
  - ../../base  # 기본 ConfigMap을 참조

patches:  # 운영 환경에 맞게 설정 변경
  - target:
      kind: ConfigMap
      name: app-config
    patch: |-
      - op: replace
        path: /data/LOG_LEVEL
        value: "error"  # 운영 환경에서는 로그 레벨을 "error"로 변경
      - op: replace
        path: /data/DATABASE_URL
        value: "postgres://db:5432/prod"  # 운영 환경 DB URL 적용

📌 Argo CD에서 Kustomize 기반으로 ConfigMap을 관리하는 Application 정의

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: example-configmap-app  # Argo CD에서 관리할 애플리케이션 이름
  namespace: argocd  # Argo CD가 배포할 네임스페이스
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git  # Git 저장소 URL
    targetRevision: main  # 사용할 Git 브랜치
    path: kustomize/overlays/prod  # 운영 환경 ConfigMap 적용
  destination:
    server: https://kubernetes.default.svc  # 쿠버네티스 클러스터 주소
    namespace: example  # 배포할 네임스페이스
  syncPolicy:
    automated:
      prune: true  # Git에서 삭제된 리소스를 Kubernetes에서도 삭제
      selfHeal: true  # Kubernetes 리소스가 변경되었을 경우 Git 상태로 자동 복구

🔹 2. Argo CD에서 Secret을 안전하게 관리하는 방법

GitOps 환경에서는 Secret을 직접 Git 저장소에 저장하는 것이 보안상 위험할 수 있습니다.
이를 해결하기 위해 Sealed Secrets 또는 External Secrets을 활용할 수 있습니다.

✅ 방법 1: Sealed Secrets을 활용한 Secret 관리

📌 Sealed Secrets 컨트롤러 설치 (Helm Chart 사용)

helm install sealed-secrets bitnami-labs/sealed-secrets -n kube-system

📌 Sealed Secrets를 활용한 암호화된 Secret 생성

kubectl create secret generic db-secret --from-literal=DB_PASSWORD='supersecret' -n example
kubectl label secret db-secret sealedsecrets.bitnami.com/sealed="true"  # Sealed Secrets 적용
kubeseal --format yaml < db-secret.yaml > sealed-secret.yaml  # Secret을 암호화하여 Git에 저장 가능

📌 Git에 저장할 암호화된 Sealed Secret 예제

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  name: db-secret  # Sealed Secret 이름
  namespace: example
spec:
  encryptedData:
    DB_PASSWORD: AgAGXt...  # 암호화된 데이터 (복호화 불가)

📌 Argo CD에서 Sealed Secrets를 활용한 Application 정의

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: example-sealed-secrets  # Argo CD에서 관리할 애플리케이션 이름
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git  # Git 저장소 URL
    targetRevision: main  # 사용할 Git 브랜치
    path: sealed-secrets  # Sealed Secrets이 저장된 경로
  destination:
    server: https://kubernetes.default.svc  # 쿠버네티스 클러스터 주소
    namespace: example  # 배포할 네임스페이스
  syncPolicy:
    automated:
      prune: true  # Git에서 삭제된 리소스를 Kubernetes에서도 삭제
      selfHeal: true  # Kubernetes 리소스가 변경되었을 경우 Git 상태로 자동 복구

✅ 방법 2: External Secrets을 활용한 Secret 관리

📌 External Secrets 컨트롤러 설치

helm install external-secrets external-secrets/external-secrets -n kube-system

📌 AWS Secrets Manager를 활용한 Secret 연동 예제

apiVersion: external-secrets.io/v1alpha1
kind: ExternalSecret
metadata:
  name: db-secret  # External Secret 이름
  namespace: example
spec:
  secretStoreRef:
    name: aws-secrets  # AWS Secrets Manager와 연동
    kind: ClusterSecretStore
  target:
    name: db-secret  # 쿠버네티스 Secret으로 생성할 이름
    creationPolicy: Owner  # Secret이 존재하지 않으면 생성
  data:
    - secretKey: DB_PASSWORD  # 쿠버네티스 Secret에서 사용할 키
      remoteRef:
        key: production/db-password  # AWS Secrets Manager에 저장된 Secret 키

📌 Argo CD에서 External Secrets를 활용한 Application 정의

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: example-external-secrets  # Argo CD에서 관리할 애플리케이션 이름
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git  # Git 저장소 URL
    targetRevision: main  # 사용할 Git 브랜치
    path: external-secrets  # External Secrets 설정이 저장된 경로
  destination:
    server: https://kubernetes.default.svc  # 쿠버네티스 클러스터 주소
    namespace: example  # 배포할 네임스페이스
  syncPolicy:
    automated:
      prune: true  # Git에서 삭제된 리소스를 Kubernetes에서도 삭제
      selfHeal: true  # Kubernetes 리소스가 변경되었을 경우 Git 상태로 자동 복구

🔹 4. Secret 및 ConfigMap 운영 시 고려할 점

✅ 1️⃣ GitOps 보안 원칙 준수
✔ Secret을 Git에 직접 저장하지 말고, Sealed Secrets 또는 External Secrets을 사용

✅ 2️⃣ 환경별 ConfigMap 관리 전략
✔ Kustomize 오버레이를 활용하여 Dev, Staging, Prod 환경을 분리

✅ 3️⃣ CI/CD 파이프라인 연동
✔ Sealed Secrets 암호화를 자동화하고, External Secrets을 통한 외부 인증 관리

✅ 4️⃣ Argo CD와 연동하여 자동화 유지
✔ selfHeal: true 옵션을 활성화하여 Secret이 손상될 경우 자동 복구

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 Kubernetes의 ConfigMap과 Secret을 GitOps 방식으로 안전하게 관리하는 방법을 학습
🟢 Sealed Secrets, External Secrets을 활용하여 GitOps 보안 문제를 해결 가능
🟢 환경별 ConfigMap을 Kustomize를 통해 분리하여 유연하게 운영 가능
🟢 GitOps 원칙을 유지하면서도 Secret을 안전하게 저장하고 배포하는 방법을 적용 가능

728x90

저작자표시 비영리 변경금지 (새창열림)

'Kubernetes Tools > ArgoCD' 카테고리의 다른 글

[Ep.38] [Argo CD 운영 최적화 #10] Argo CD 운영 시 성능 최적화 및 모니터링 전략 (0)	2025.03.18
[Ep.37] [Argo CD 운영 최적화 #7] Argo CD의 네트워크 및 서비스 디스커버리 최적화 (0)	2025.03.17
[Ep.35] [Argo CD 운영 최적화 #5] Argo CD와 Progressive Delivery(점진적 배포) 전략 (0)	2025.03.17
[Ep.34] [Argo CD 운영 최적화 #4] Argo CD와 Argo Rollouts를 활용한 배포 전략 (0)	2025.03.17
[Ep.33] [Argo CD 운영 최적화 #3] Argo CD와 CI/CD 파이프라인 최적화 (0)	2025.03.17

현재글[Ep.36] [Argo CD 운영 최적화 #6] Argo CD에서 Secret 및 ConfigMap 안전하게 관리하기

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

Minio, 서비스메시, YAML, DaemonSet, DevOps, gitops, argocd, kubernetes, 서비스_운영, RAG, k8s, 쿠버네티스, Istio, 파이썬, CI/CD, Cilium, Security, langchain, statefulset, Python,

Today :
Yesterday :

일	월	화	수	목	금	토
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

YG Tech Blog