[Ep.43] [Argo CD 실무 적용 #1] Argo CD와 Vault를 활용한 보안 강화 및 시크릿 관리 최적화

🔹 Argo CD 환경에서 보안 강화를 위한 시크릿 관리의 필요성

GitOps 기반 배포 방식에서는 Kubernetes 리소스와 함께 시크릿(Secrets) 정보도 관리해야 합니다.
그러나 Git 저장소에 평문(Plain Text)으로 시크릿을 저장하면 보안 위험이 발생할 수 있습니다.
이를 방지하기 위해 Vault 등의 외부 시크릿 관리 시스템을 활용하여 보안성을 강화할 수 있습니다.

 

✅ Vault를 활용한 시크릿 관리가 필요한 이유

 

✔ Git 저장소에 민감한 정보(비밀번호, API 키)를 직접 저장하지 않도록 보호
✔ 동적 시크릿 생성 및 자동 갱신 기능을 제공하여 보안성을 강화
✔ RBAC(Role-Based Access Control) 기반으로 접근 제어 가능
✔ Kubernetes 네이티브 방식으로 Argo CD와 연동 가능

---

🔹 1. HashiCorp Vault를 활용한 시크릿 관리

Vault는 동적 시크릿(Dynamic Secrets) 및 Kubernetes와의 연동을 지원하는 강력한 시크릿 관리 도구입니다.
Kubernetes 환경에서 Argo CD와 Vault를 연동하면 시크릿을 안전하게 관리하고 애플리케이션에 자동으로 주입할 수 있습니다.

✅ 1.1 Vault 설치 및 초기 설정

Vault를 Kubernetes 환경에 배포하기 위해 Helm Chart를 사용할 수 있습니다.

helm repo add hashicorp https://helm.releases.hashicorp.com
helm install vault hashicorp/vault --namespace vault --create-namespace

 

✅ 설명:
✔ helm install vault hashicorp/vault → Vault Helm 차트 설치
✔ --namespace vault --create-namespace → Vault를 별도의 네임스페이스에 배포

 

✅ Vault Pod 상태 확인

kubectl get pods -n vault

 

✅ 출력 예시:

NAME                     READY   STATUS    RESTARTS   AGE
vault-0                  1/1     Running   0          2m

---

✅ 1.2 Vault 초기화 및 인증 설정

Vault를 사용하려면 먼저 초기화(Initialize) 및 인증(Authentication) 설정이 필요합니다.

 

✅ Vault 초기화 실행

kubectl exec -it vault-0 -n vault -- vault operator init

 

✅ 출력 예시:

Unseal Key 1: xxxxx-xxxxx-xxxxx
Unseal Key 2: xxxxx-xxxxx-xxxxx
Root Token: hvs.xxxx-xxxx-xxxx

 

✅ Vault Unlock (Unseal) 실행

kubectl exec -it vault-0 -n vault -- vault operator unseal <UNSEAL_KEY_1>
kubectl exec -it vault-0 -n vault -- vault operator unseal <UNSEAL_KEY_2>

 

✅ Vault Root Token 로그인

kubectl exec -it vault-0 -n vault -- vault login <ROOT_TOKEN>

 

✅ 설명:
✔ vault operator init → Vault 초기화 및 Unseal 키 생성
✔ vault login <ROOT_TOKEN> → Vault Root Token을 사용하여 로그인

---

🔹 2. Vault와 Kubernetes 연동

Vault를 Kubernetes 환경에서 사용하려면 Kubernetes 인증(Kubernetes Auth)을 활성화해야 합니다.

✅ 2.1 Vault Kubernetes 인증 활성화

vault auth enable kubernetes

 

✅ 설명:
✔ vault auth enable kubernetes → Vault에서 Kubernetes 인증 활성화

 

✅ Kubernetes 인증 설정 추가

vault write auth/kubernetes/config \
    token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
    kubernetes_host="https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_SERVICE_PORT"

 

✅ 설명:
✔ token_reviewer_jwt → Kubernetes의 ServiceAccount 토큰을 사용하여 인증
✔ kubernetes_host → Kubernetes API 서버 주소를 Vault에 등록

---

✅ 2.2 Vault에서 시크릿 저장 및 관리

Vault를 활용하여 데이터베이스 패스워드 등의 민감한 정보를 저장할 수 있습니다.

vault kv put secret/db-password value="SuperSecret123"

 

✅ 저장된 시크릿 조회

vault kv get secret/db-password

 

✅ 출력 예시:

====== Metadata ======
Key              Value
value            SuperSecret123

---

🔹 3. Argo CD와 Vault 연동을 통한 시크릿 관리

Argo CD에서 Vault를 활용하여 시크릿을 직접 로드할 수 있도록 External Secrets Operator를 사용합니다.

✅ 3.1 External Secrets Operator 설치

helm repo add external-secrets https://charts.external-secrets.io
helm install external-secrets external-secrets/external-secrets -n external-secrets --create-namespace

 

✅ 설명:
✔ helm install external-secrets → Kubernetes에서 외부 시크릿을 불러오는 오퍼레이터 설치

 

✅ External Secrets Pod 확인

kubectl get pods -n external-secrets

 

✅ 출력 예시:

NAME                                   READY   STATUS    RESTARTS   AGE
external-secrets-5f9fd7dd58-vzfsd      1/1     Running   0          2m

---

✅ 3.2 Vault에서 시크릿을 Kubernetes 시크릿으로 변환

Argo CD에서 Vault 시크릿을 활용하려면 ExternalSecret을 정의해야 합니다.

apiVersion: external-secrets.io/v1alpha1
kind: ExternalSecret
metadata:
  name: db-secret
  namespace: example
spec:
  secretStoreRef:
    name: vault-backend
    kind: ClusterSecretStore
  target:
    name: db-secret
    creationPolicy: Owner
  data:
    - secretKey: DB_PASSWORD
      remoteRef:
        key: secret/db-password  # Vault에서 불러올 시크릿 키

 

✅ 설명:
✔ secretStoreRef.name: vault-backend → Vault에서 시크릿을 가져옴
✔ remoteRef.key: secret/db-password → Vault에서 해당 키의 값을 불러옴

 

✅ External Secret 적용

kubectl apply -f external-secret.yaml -n example

 

✅ 시크릿 확인

kubectl get secrets -n example

 

✅ 출력 예시:

NAME         TYPE     DATA   AGE
db-secret    Opaque  1      2m

 

✅ 시크릿 값 확인

kubectl get secret db-secret -n example -o yaml

 

✅ 출력 예시:

apiVersion: v1
kind: Secret
metadata:
  name: db-secret
  namespace: example
type: Opaque
data:
  DB_PASSWORD: U3VwZXJTZWNyZXQxMjM=

---

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 Vault를 활용하여 Git 저장소에서 시크릿을 안전하게 보호 가능
🟢 Argo CD와 External Secrets Operator를 연동하여 동적으로 시크릿을 관리 가능
🟢 Kubernetes 네이티브 방식을 통해 시크릿을 안전하게 애플리케이션에 주입 가능
🟢 GitOps 환경에서도 보안성이 강화된 시크릿 관리 운영 가능