2.7. 외부 시크릿 저장소를 사용하여 Pod에 민감한 데이터 제공
일부 애플리케이션에는 개발자에게 제공하길 원하지 않는 민감한 정보(암호 및 사용자 이름 등)가 필요합니다.
중요한 정보를 제공하기 위해 Kubernetes Secret
오브젝트를 사용하는 대신 외부 시크릿 저장소를 사용하여 중요한 정보를 저장할 수 있습니다. Secrets Store CSI Driver Operator를 사용하여 외부 시크릿 저장소와 통합하고 보안 콘텐츠를 Pod 볼륨으로 마운트할 수 있습니다.
Secrets Store CSI Driver Operator는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
2.7.1. Secrets Store CSI Driver Operator 정보
Kubernetes 시크릿은 Base64 인코딩으로 저장됩니다. etcd는 이러한 시크릿을 위해 미사용 암호화를 제공하지만 시크릿이 검색되면 암호 해독되어 사용자에게 제공됩니다. 클러스터에서 역할 기반 액세스 제어가 제대로 구성되지 않은 경우 API 또는 etcd 액세스 권한이 있는 모든 사용자가 시크릿을 검색하거나 수정할 수 있습니다. 또한 네임스페이스에서 Pod를 생성할 권한이 있는 사용자는 해당 액세스 권한을 사용하여 해당 네임스페이스의 보안을 읽을 수 있습니다.
보안을 안전하게 저장하고 관리하려면 공급자 플러그인을 사용하여 OpenShift Container Platform Store Container Storage Interface (CSI) Driver Operator를 구성하여 Azure Key Vault와 같은 외부 시크릿 관리 시스템에서 시크릿을 마운트할 수 있습니다. 그러면 애플리케이션에서 시크릿을 사용할 수 있지만 애플리케이션 pod를 삭제한 후에는 시스템에서 시크릿이 유지되지 않습니다.
Secrets Store CSI Driver Operator, secrets-store.csi.k8s.io
를 사용하면 OpenShift Container Platform에서 엔터프라이즈급 외부 시크릿 저장소에 저장된 여러 시크릿, 키 및 인증서를 볼륨으로 마운트할 수 있습니다. Secrets Store CSI Driver Operator는 gRPC를 사용하여 공급자와 통신하여 지정된 외부 시크릿 저장소에서 마운트 콘텐츠를 가져옵니다. 볼륨이 연결되면 해당 데이터가 컨테이너의 파일 시스템에 마운트됩니다. 시크릿 저장소 볼륨은 인라인으로 마운트됩니다.
2.7.1.1. 보안 저장소 공급자
Secrets Store CSI Driver Operator와 함께 다음 보안 저장소 공급자를 사용할 수 있습니다.
- AWS Secrets Manager
- AWS Systems Manager 매개변수 저장소
- Azure Key Vault
- HashiCorp Vault
2.7.1.2. 자동 교체
Secrets Store CSI 드라이버는 마운트된 볼륨의 콘텐츠를 외부 시크릿 저장소의 콘텐츠로 주기적으로 순환합니다. 외부 시크릿 저장소에서 보안이 업데이트되면 마운트된 볼륨에서 보안이 업데이트됩니다. Secrets Store CSI Driver Operator는 2분마다 업데이트를 폴링합니다.
마운트된 콘텐츠의 동기화를 Kubernetes 시크릿으로 활성화한 경우 Kubernetes 시크릿도 순환됩니다.
시크릿 데이터를 사용하는 애플리케이션은 시크릿 업데이트를 감시해야 합니다.
2.7.2. Secrets Store CSI 드라이버 설치
사전 요구 사항
- OpenShift Container Platform 웹 콘솔에 액세스합니다.
- 클러스터에 대한 관리자 액세스 권한
프로세스
Secrets Store CSI 드라이버를 설치하려면 다음을 수행합니다.
Secrets Store CSI Driver Operator를 설치합니다.
- 웹 콘솔에 로그인합니다.
-
Operators
OperatorHub를 클릭합니다. - 필터 상자에 "Secrets Store CSI"를 입력하여 Secrets Store CSI 드라이버 Operator를 찾습니다.
- Secrets Store CSI Driver Operator 버튼을 클릭합니다.
- Secrets Store CSI Driver Operator 페이지에서 설치를 클릭합니다.
Operator 설치 페이지에서 다음을 확인합니다.
- 클러스터의 모든 네임스페이스(기본값)가 선택됩니다.
- 설치된 네임스페이스는 openshift-cluster-csi-drivers로 설정됩니다.
설치를 클릭합니다.
설치가 완료되면 Secrets Store CSI Driver Operator가 웹 콘솔의 설치된 Operator 섹션에 나열됩니다.
드라이버에 대한
ClusterCSIDriver
인스턴스를 생성합니다(secret-store.csi.k8s.io
).-
Administration
CustomResourceDefinitions ClusterCSIDriver 를 클릭합니다. Instances 탭에서 Create ClusterCSIDriver를 클릭합니다.
다음 YAML 파일을 사용합니다.
apiVersion: operator.openshift.io/v1 kind: ClusterCSIDriver metadata: name: secrets-store.csi.k8s.io spec: managementState: Managed
- 생성을 클릭합니다.
-
Administration
2.7.3. 외부 시크릿 저장소에서 CSI 볼륨으로 보안 마운트
Secrets Store CSI Driver Operator를 설치한 후 다음 외부 보안 저장소 중 하나에서 CSI 볼륨에 시크릿을 마운트할 수 있습니다.
2.7.3.1. AWS Secrets Manager에서 보안 마운트
Secrets Store CSI Driver Operator를 사용하여 AWS Secrets Manager의 시크릿을 OpenShift Container Platform의 CSI 볼륨에 마운트할 수 있습니다. AWS Secrets Manager의 시크릿을 마운트하려면 AWS에 클러스터를 설치하고 AWS STS(보안 토큰 서비스)를 사용해야 합니다.
사전 요구 사항
- 클러스터가 AWS에 설치되어 있으며 AWS STS(보안 토큰 서비스)를 사용합니다.
- Secrets Store CSI Driver Operator가 설치되어 있습니다. 자세한 내용은 Secrets Store CSI 드라이버 설치를 참조하십시오.
- 필요한 보안을 저장하도록 AWS Secrets Manager를 구성했습니다.
-
ccoctl
바이너리를 추출하여 준비했습니다. -
jq
CLI 툴을 설치했습니다. -
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
AWS Secrets Manager 공급자를 설치합니다.
공급자 리소스에 대한 다음 구성을 사용하여 YAML 파일을 생성합니다.
중요Secrets Store CSI 드라이버의 AWS Secrets Manager 공급자는 업스트림 공급자입니다.
이 구성은 OpenShift Container Platform과 제대로 작동하도록 업스트림 AWS 설명서에 제공된 구성에서 수정됩니다. 이 구성을 변경하면 기능에 영향을 미칠 수 있습니다.
aws-provider.yaml
파일의 예apiVersion: v1 kind: ServiceAccount metadata: name: csi-secrets-store-provider-aws namespace: openshift-cluster-csi-drivers --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: csi-secrets-store-provider-aws-cluster-role rules: - apiGroups: [""] resources: ["serviceaccounts/token"] verbs: ["create"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["get"] - apiGroups: [""] resources: ["pods"] verbs: ["get"] - apiGroups: [""] resources: ["nodes"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: csi-secrets-store-provider-aws-cluster-rolebinding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: csi-secrets-store-provider-aws-cluster-role subjects: - kind: ServiceAccount name: csi-secrets-store-provider-aws namespace: openshift-cluster-csi-drivers --- apiVersion: apps/v1 kind: DaemonSet metadata: namespace: openshift-cluster-csi-drivers name: csi-secrets-store-provider-aws labels: app: csi-secrets-store-provider-aws spec: updateStrategy: type: RollingUpdate selector: matchLabels: app: csi-secrets-store-provider-aws template: metadata: labels: app: csi-secrets-store-provider-aws spec: serviceAccountName: csi-secrets-store-provider-aws hostNetwork: false containers: - name: provider-aws-installer image: public.ecr.aws/aws-secrets-manager/secrets-store-csi-driver-provider-aws:1.0.r2-50-g5b4aca1-2023.06.09.21.19 imagePullPolicy: Always args: - --provider-volume=/etc/kubernetes/secrets-store-csi-providers resources: requests: cpu: 50m memory: 100Mi limits: cpu: 50m memory: 100Mi securityContext: privileged: true volumeMounts: - mountPath: "/etc/kubernetes/secrets-store-csi-providers" name: providervol - name: mountpoint-dir mountPath: /var/lib/kubelet/pods mountPropagation: HostToContainer tolerations: - operator: Exists volumes: - name: providervol hostPath: path: "/etc/kubernetes/secrets-store-csi-providers" - name: mountpoint-dir hostPath: path: /var/lib/kubelet/pods type: DirectoryOrCreate nodeSelector: kubernetes.io/os: linux
다음 명령을 실행하여
csi-secrets-store-provider-aws
서비스 계정에 대한 권한 권한을 부여합니다.$ oc adm policy add-scc-to-user privileged -z csi-secrets-store-provider-aws -n openshift-cluster-csi-drivers
다음 명령을 실행하여 공급자 리소스를 생성합니다.
$ oc apply -f aws-provider.yaml
서비스 계정에서 AWS 시크릿 오브젝트를 읽을 수 있는 권한을 부여합니다.
다음 명령을 실행하여 인증 정보 요청을 포함할 디렉터리를 생성합니다.
$ mkdir credentialsrequest-dir-aws
인증 정보 요청에 대해 다음 구성을 사용하여 YAML 파일을 생성합니다.
credentialsrequest.yaml
파일 예apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: name: aws-provider-test namespace: openshift-cloud-credential-operator spec: providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: AWSProviderSpec statementEntries: - action: - "secretsmanager:GetSecretValue" - "secretsmanager:DescribeSecret" effect: Allow resource: "arn:*:secretsmanager:*:*:secret:testSecret-??????" secretRef: name: aws-creds namespace: my-namespace serviceAccountNames: - aws-provider
다음 명령을 실행하여 OIDC 공급자를 검색합니다.
$ oc get --raw=/.well-known/openid-configuration | jq -r '.issuer'
출력 예
https://<oidc_provider_name>
다음 단계에서 사용할 출력에서 OIDC
공급자 이름 <oidc_provider_name
>을 복사합니다.ccoctl
툴을 사용하여 다음 명령을 실행하여 인증 정보 요청을 처리합니다.$ ccoctl aws create-iam-roles \ --name my-role --region=<aws_region> \ --credentials-requests-dir=credentialsrequest-dir-aws \ --identity-provider-arn arn:aws:iam::<aws_account>:oidc-provider/<oidc_provider_name> --output-dir=credrequests-ccoctl-output
출력 예
2023/05/15 18:10:34 Role arn:aws:iam::<aws_account_id>:role/my-role-my-namespace-aws-creds created 2023/05/15 18:10:34 Saved credentials configuration to: credrequests-ccoctl-output/manifests/my-namespace-aws-creds-credentials.yaml 2023/05/15 18:10:35 Updated Role policy for Role my-role-my-namespace-aws-creds
다음 단계에서 사용할 출력에서 <
aws_role_arn
>을 복사합니다. 예를 들어arn:aws:iam::<aws_account_id>:role/my-role-my-namespace-aws-creds
.다음 명령을 실행하여 서비스 계정을 ARN 역할과 바인딩합니다.
$ oc annotate -n my-namespace sa/aws-provider eks.amazonaws.com/role-arn="<aws_role_arn>"
시크릿 공급자 클래스를 생성하여 시크릿 저장소 공급자를 정의합니다.
SecretProviderClass
오브젝트를 정의하는 YAML 파일을 생성합니다.secret-provider-class-aws.yaml
의 예apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: my-aws-provider 1 namespace: my-namespace 2 spec: provider: aws 3 parameters: 4 objects: | - objectName: "testSecret" objectType: "secretsmanager"
다음 명령을 실행하여
SecretProviderClass
오브젝트를 생성합니다.$ oc create -f secret-provider-class-aws.yaml
이 시크릿 공급자 클래스를 사용할 배포를 생성합니다.
Deployment
오브젝트를 정의하는 YAML 파일을 생성합니다.deployment.yaml
의 예apiVersion: apps/v1 kind: Deployment metadata: name: my-aws-deployment 1 namespace: my-namespace 2 spec: replicas: 1 selector: matchLabels: app: my-storage template: metadata: labels: app: my-storage spec: containers: - name: busybox image: k8s.gcr.io/e2e-test-images/busybox:1.29 command: - "/bin/sleep" - "10000" volumeMounts: - name: secrets-store-inline mountPath: "/mnt/secrets-store" readOnly: true volumes: - name: secrets-store-inline csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "my-aws-provider" 3
다음 명령을 실행하여
Deployment
오브젝트를 생성합니다.$ oc create -f deployment.yaml
검증
Pod 볼륨 마운트의 AWS Secrets Manager에서 시크릿에 액세스할 수 있는지 확인합니다.
Pod 마운트의 보안을 나열합니다.
$ oc exec busybox-<hash> -n my-namespace -- ls /mnt/secrets-store/
출력 예
testSecret
Pod 마운트에서 보안을 확인합니다.
$ oc exec busybox-<hash> -n my-namespace -- cat /mnt/secrets-store/testSecret
출력 예
<secret_value>
2.7.3.2. AWS Systems Manager 매개변수 저장소에서 시크릿 마운트
Secrets Store CSI Driver Operator를 사용하여 AWS Systems Manager Parameter Store의 시크릿을 OpenShift Container Platform의 CSI 볼륨에 마운트할 수 있습니다. AWS Systems Manager Parameter Store의 시크릿을 마운트하려면 클러스터를 AWS에 설치하고 AWS STS(Security Token Service)를 사용해야 합니다.
사전 요구 사항
- 클러스터가 AWS에 설치되어 있으며 AWS STS(보안 토큰 서비스)를 사용합니다.
- Secrets Store CSI Driver Operator가 설치되어 있습니다. 자세한 내용은 Secrets Store CSI 드라이버 설치를 참조하십시오.
- 필요한 시크릿을 저장하도록 AWS Systems Manager Parameter Store를 구성했습니다.
-
ccoctl
바이너리를 추출하여 준비했습니다. -
jq
CLI 툴을 설치했습니다. -
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
AWS Systems Manager Parameter Store 공급자를 설치합니다.
공급자 리소스에 대한 다음 구성을 사용하여 YAML 파일을 생성합니다.
중요Secrets Store CSI 드라이버의 AWS Systems Manager Parameter Store 공급자는 업스트림 공급자입니다.
이 구성은 OpenShift Container Platform과 제대로 작동하도록 업스트림 AWS 설명서에 제공된 구성에서 수정됩니다. 이 구성을 변경하면 기능에 영향을 미칠 수 있습니다.
aws-provider.yaml
파일의 예apiVersion: v1 kind: ServiceAccount metadata: name: csi-secrets-store-provider-aws namespace: openshift-cluster-csi-drivers --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: csi-secrets-store-provider-aws-cluster-role rules: - apiGroups: [""] resources: ["serviceaccounts/token"] verbs: ["create"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["get"] - apiGroups: [""] resources: ["pods"] verbs: ["get"] - apiGroups: [""] resources: ["nodes"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: csi-secrets-store-provider-aws-cluster-rolebinding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: csi-secrets-store-provider-aws-cluster-role subjects: - kind: ServiceAccount name: csi-secrets-store-provider-aws namespace: openshift-cluster-csi-drivers --- apiVersion: apps/v1 kind: DaemonSet metadata: namespace: openshift-cluster-csi-drivers name: csi-secrets-store-provider-aws labels: app: csi-secrets-store-provider-aws spec: updateStrategy: type: RollingUpdate selector: matchLabels: app: csi-secrets-store-provider-aws template: metadata: labels: app: csi-secrets-store-provider-aws spec: serviceAccountName: csi-secrets-store-provider-aws hostNetwork: false containers: - name: provider-aws-installer image: public.ecr.aws/aws-secrets-manager/secrets-store-csi-driver-provider-aws:1.0.r2-50-g5b4aca1-2023.06.09.21.19 imagePullPolicy: Always args: - --provider-volume=/etc/kubernetes/secrets-store-csi-providers resources: requests: cpu: 50m memory: 100Mi limits: cpu: 50m memory: 100Mi securityContext: privileged: true volumeMounts: - mountPath: "/etc/kubernetes/secrets-store-csi-providers" name: providervol - name: mountpoint-dir mountPath: /var/lib/kubelet/pods mountPropagation: HostToContainer tolerations: - operator: Exists volumes: - name: providervol hostPath: path: "/etc/kubernetes/secrets-store-csi-providers" - name: mountpoint-dir hostPath: path: /var/lib/kubelet/pods type: DirectoryOrCreate nodeSelector: kubernetes.io/os: linux
다음 명령을 실행하여
csi-secrets-store-provider-aws
서비스 계정에 대한 권한 권한을 부여합니다.$ oc adm policy add-scc-to-user privileged -z csi-secrets-store-provider-aws -n openshift-cluster-csi-drivers
다음 명령을 실행하여 공급자 리소스를 생성합니다.
$ oc apply -f aws-provider.yaml
서비스 계정에서 AWS 시크릿 오브젝트를 읽을 수 있는 권한을 부여합니다.
다음 명령을 실행하여 인증 정보 요청을 포함할 디렉터리를 생성합니다.
$ mkdir credentialsrequest-dir-aws
인증 정보 요청에 대해 다음 구성을 사용하여 YAML 파일을 생성합니다.
credentialsrequest.yaml
파일 예apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: name: aws-provider-test namespace: openshift-cloud-credential-operator spec: providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: AWSProviderSpec statementEntries: - action: - "ssm:GetParameter" - "ssm:GetParameters" effect: Allow resource: "arn:*:ssm:*:*:parameter/testParameter*" secretRef: name: aws-creds namespace: my-namespace serviceAccountNames: - aws-provider
다음 명령을 실행하여 OIDC 공급자를 검색합니다.
$ oc get --raw=/.well-known/openid-configuration | jq -r '.issuer'
출력 예
https://<oidc_provider_name>
다음 단계에서 사용할 출력에서 OIDC
공급자 이름 <oidc_provider_name
>을 복사합니다.ccoctl
툴을 사용하여 다음 명령을 실행하여 인증 정보 요청을 처리합니다.$ ccoctl aws create-iam-roles \ --name my-role --region=<aws_region> \ --credentials-requests-dir=credentialsrequest-dir-aws \ --identity-provider-arn arn:aws:iam::<aws_account>:oidc-provider/<oidc_provider_name> --output-dir=credrequests-ccoctl-output
출력 예
2023/05/15 18:10:34 Role arn:aws:iam::<aws_account_id>:role/my-role-my-namespace-aws-creds created 2023/05/15 18:10:34 Saved credentials configuration to: credrequests-ccoctl-output/manifests/my-namespace-aws-creds-credentials.yaml 2023/05/15 18:10:35 Updated Role policy for Role my-role-my-namespace-aws-creds
다음 단계에서 사용할 출력에서 <
aws_role_arn
>을 복사합니다. 예를 들어arn:aws:iam::<aws_account_id>:role/my-role-my-namespace-aws-creds
.다음 명령을 실행하여 서비스 계정을 ARN 역할과 바인딩합니다.
$ oc annotate -n my-namespace sa/aws-provider eks.amazonaws.com/role-arn="<aws_role_arn>"
시크릿 공급자 클래스를 생성하여 시크릿 저장소 공급자를 정의합니다.
SecretProviderClass
오브젝트를 정의하는 YAML 파일을 생성합니다.secret-provider-class-aws.yaml
의 예apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: my-aws-provider 1 namespace: my-namespace 2 spec: provider: aws 3 parameters: 4 objects: | - objectName: "testParameter" objectType: "ssmparameter"
다음 명령을 실행하여
SecretProviderClass
오브젝트를 생성합니다.$ oc create -f secret-provider-class-aws.yaml
이 시크릿 공급자 클래스를 사용할 배포를 생성합니다.
Deployment
오브젝트를 정의하는 YAML 파일을 생성합니다.deployment.yaml
의 예apiVersion: apps/v1 kind: Deployment metadata: name: my-aws-deployment 1 namespace: my-namespace 2 spec: replicas: 1 selector: matchLabels: app: my-storage template: metadata: labels: app: my-storage spec: containers: - name: busybox image: k8s.gcr.io/e2e-test-images/busybox:1.29 command: - "/bin/sleep" - "10000" volumeMounts: - name: secrets-store-inline mountPath: "/mnt/secrets-store" readOnly: true volumes: - name: secrets-store-inline csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "my-aws-provider" 3
다음 명령을 실행하여
Deployment
오브젝트를 생성합니다.$ oc create -f deployment.yaml
검증
Pod 볼륨 마운트의 AWS Systems Manager Parameter Store에서 시크릿에 액세스할 수 있는지 확인합니다.
Pod 마운트의 보안을 나열합니다.
$ oc exec busybox-<hash> -n my-namespace -- ls /mnt/secrets-store/
출력 예
testParameter
Pod 마운트에서 보안을 확인합니다.
$ oc exec busybox-<hash> -n my-namespace -- cat /mnt/secrets-store/testSecret
출력 예
<secret_value>
2.7.3.3. Azure Key Vault에서 시크릿 마운트
Secrets Store CSI Driver Operator를 사용하여 Azure Key Vault의 시크릿을 OpenShift Container Platform의 CSI 볼륨에 마운트할 수 있습니다. Azure Key Vault의 시크릿을 마운트하려면 Microsoft Azure에 클러스터가 설치되어 있어야 합니다.
사전 요구 사항
- 클러스터가 Azure에 설치되어 있습니다.
- Secrets Store CSI Driver Operator가 설치되어 있습니다. 자세한 내용은 Secrets Store CSI 드라이버 설치를 참조하십시오.
- 필요한 시크릿을 저장하도록 Azure Key Vault를 구성했습니다.
-
Azure CLI(
az
)를 설치했습니다. -
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
Azure Key Vault 공급자를 설치합니다.
공급자 리소스에 대한 다음 구성을 사용하여 YAML 파일을 생성합니다.
중요Secrets Store CSI 드라이버의 Azure Key Vault 공급자는 업스트림 공급자입니다.
이 구성은 OpenShift Container Platform에서 제대로 작동하도록 업스트림 Azure 설명서에 제공된 구성에서 수정됩니다. 이 구성을 변경하면 기능에 영향을 미칠 수 있습니다.
azure-provider.yaml
파일 예apiVersion: v1 kind: ServiceAccount metadata: name: csi-secrets-store-provider-azure namespace: openshift-cluster-csi-drivers --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: csi-secrets-store-provider-azure-cluster-role rules: - apiGroups: [""] resources: ["serviceaccounts/token"] verbs: ["create"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["get"] - apiGroups: [""] resources: ["pods"] verbs: ["get"] - apiGroups: [""] resources: ["nodes"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: csi-secrets-store-provider-azure-cluster-rolebinding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: csi-secrets-store-provider-azure-cluster-role subjects: - kind: ServiceAccount name: csi-secrets-store-provider-azure namespace: openshift-cluster-csi-drivers --- apiVersion: apps/v1 kind: DaemonSet metadata: namespace: openshift-cluster-csi-drivers name: csi-secrets-store-provider-azure labels: app: csi-secrets-store-provider-azure spec: updateStrategy: type: RollingUpdate selector: matchLabels: app: csi-secrets-store-provider-azure template: metadata: labels: app: csi-secrets-store-provider-azure spec: serviceAccountName: csi-secrets-store-provider-azure hostNetwork: true containers: - name: provider-azure-installer image: mcr.microsoft.com/oss/azure/secrets-store/provider-azure:v1.4.1 imagePullPolicy: IfNotPresent args: - --endpoint=unix:///provider/azure.sock - --construct-pem-chain=true - --healthz-port=8989 - --healthz-path=/healthz - --healthz-timeout=5s livenessProbe: httpGet: path: /healthz port: 8989 failureThreshold: 3 initialDelaySeconds: 5 timeoutSeconds: 10 periodSeconds: 30 resources: requests: cpu: 50m memory: 100Mi limits: cpu: 50m memory: 100Mi securityContext: allowPrivilegeEscalation: false readOnlyRootFilesystem: true runAsUser: 0 capabilities: drop: - ALL volumeMounts: - mountPath: "/provider" name: providervol affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: type operator: NotIn values: - virtual-kubelet volumes: - name: providervol hostPath: path: "/var/run/secrets-store-csi-providers" tolerations: - operator: Exists nodeSelector: kubernetes.io/os: linux
다음 명령을 실행하여
csi-secrets-store-provider-azure
서비스 계정에 대한 권한 권한을 부여합니다.$ oc adm policy add-scc-to-user privileged -z csi-secrets-store-provider-azure -n openshift-cluster-csi-drivers
다음 명령을 실행하여 공급자 리소스를 생성합니다.
$ oc apply -f azure-provider.yaml
키 자격 증명 모음에 액세스할 서비스 주체를 생성합니다.
다음 명령을 실행하여 서비스 주체 클라이언트 시크릿을 환경 변수로 설정합니다.
$ SERVICE_PRINCIPAL_CLIENT_SECRET="$(az ad sp create-for-rbac --name https://$KEYVAULT_NAME --query 'password' -otsv)"
다음 명령을 실행하여 서비스 주체 클라이언트 ID를 환경 변수로 설정합니다.
$ SERVICE_PRINCIPAL_CLIENT_ID="$(az ad sp list --display-name https://$KEYVAULT_NAME --query '[0].appId' -otsv)"
다음 명령을 실행하여 서비스 주체 클라이언트 시크릿 및 ID를 사용하여 일반 시크릿을 생성합니다.
$ oc create secret generic secrets-store-creds -n my-namespace --from-literal clientid=${SERVICE_PRINCIPAL_CLIENT_ID} --from-literal clientsecret=${SERVICE_PRINCIPAL_CLIENT_SECRET}
secret
-store.csi.k8s.io/used=true
레이블을 적용하여 공급자가 이nodePublishSecretRef
시크릿을 찾을 수 있도록 합니다.$ oc -n my-namespace label secret secrets-store-creds secrets-store.csi.k8s.io/used=true
시크릿 공급자 클래스를 생성하여 시크릿 저장소 공급자를 정의합니다.
SecretProviderClass
오브젝트를 정의하는 YAML 파일을 생성합니다.secret-provider-class-azure.yaml
의 예apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: my-azure-provider 1 namespace: my-namespace 2 spec: provider: azure 3 parameters: 4 usePodIdentity: "false" useVMManagedIdentity: "false" userAssignedIdentityID: "" keyvaultName: "kvname" objects: | array: - | objectName: secret1 objectType: secret tenantId: "tid"
다음 명령을 실행하여
SecretProviderClass
오브젝트를 생성합니다.$ oc create -f secret-provider-class-azure.yaml
이 시크릿 공급자 클래스를 사용할 배포를 생성합니다.
Deployment
오브젝트를 정의하는 YAML 파일을 생성합니다.deployment.yaml
의 예apiVersion: apps/v1 kind: Deployment metadata: name: my-azure-deployment 1 namespace: my-namespace 2 spec: replicas: 1 selector: matchLabels: app: my-storage template: metadata: labels: app: my-storage spec: containers: - name: busybox image: k8s.gcr.io/e2e-test-images/busybox:1.29 command: - "/bin/sleep" - "10000" volumeMounts: - name: secrets-store-inline mountPath: "/mnt/secrets-store" readOnly: true volumes: - name: secrets-store-inline csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "my-azure-provider" 3 nodePublishSecretRef: name: secrets-store-creds 4
다음 명령을 실행하여
Deployment
오브젝트를 생성합니다.$ oc create -f deployment.yaml
검증
Pod 볼륨 마운트의 Azure Key Vault에서 시크릿에 액세스할 수 있는지 확인합니다.
Pod 마운트의 보안을 나열합니다.
$ oc exec busybox-<hash> -n my-namespace -- ls /mnt/secrets-store/
출력 예
secret1
Pod 마운트에서 보안을 확인합니다.
$ oc exec busybox-<hash> -n my-namespace -- cat /mnt/secrets-store/secret1
출력 예
my-secret-value
2.7.3.4. HashiCorp Vault에서 보안 마운트
Secrets Store CSI Driver Operator를 사용하여 HashiCorp Vault의 시크릿을 OpenShift Container Platform의 CSI 볼륨에 마운트할 수 있습니다.
Secrets Store CSI Driver Operator를 사용하여 HashiCorp Vault의 시크릿 마운트는 다음 클라우드 공급자에서 테스트되었습니다.
- AWS(Amazon Web Services)
- Microsoft Azure
다른 클라우드 공급자도 작동할 수 있지만 아직 테스트되지 않았습니다. 향후 추가 클라우드 공급자를 테스트할 수 있습니다.
사전 요구 사항
- Secrets Store CSI Driver Operator가 설치되어 있습니다. 자세한 내용은 Secrets Store CSI 드라이버 설치를 참조하십시오.
- Helm이 설치되어 있어야 합니다.
-
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
다음 명령을 실행하여 HashiCorp Helm 리포지토리를 추가합니다.
$ helm repo add hashicorp https://helm.releases.hashicorp.com
다음 명령을 실행하여 Helm이 최신 버전을 인식하도록 모든 리포지토리를 업데이트합니다.
$ helm repo update
HashiCorp Vault 공급자를 설치합니다.
다음 명령을 실행하여 Vault에 대한 새 프로젝트를 생성합니다.
$ oc new-project vault
다음 명령을 실행하여 Pod 보안 승인을 위해
vault
네임스페이스에 레이블을 지정합니다.$ oc label ns vault security.openshift.io/scc.podSecurityLabelSync=false pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/audit=privileged pod-security.kubernetes.io/warn=privileged --overwrite
다음 명령을 실행하여
vault
서비스 계정에 대한 권한 권한을 부여합니다.$ oc adm policy add-scc-to-user privileged -z vault -n vault
다음 명령을 실행하여
vault-csi-provider
서비스 계정에 대한 권한 권한을 부여합니다.$ oc adm policy add-scc-to-user privileged -z vault-csi-provider -n vault
다음 명령을 실행하여 HashiCorp Vault를 배포합니다.
$ helm install vault hashicorp/vault --namespace=vault \ --set "server.dev.enabled=true" \ --set "injector.enabled=false" \ --set "csi.enabled=true" \ --set "global.openshift=true" \ --set "injector.agentImage.repository=docker.io/hashicorp/vault" \ --set "server.image.repository=docker.io/hashicorp/vault" \ --set "csi.image.repository=docker.io/hashicorp/vault-csi-provider" \ --set "csi.agent.image.repository=docker.io/hashicorp/vault" \ --set "csi.daemonSet.providersDir=/var/run/secrets-store-csi-providers"
다음 명령을 실행하여
vault-csi-driver
데몬 세트를 패치하여securityContext
를privileged
로 설정합니다.$ oc patch daemonset -n vault vault-csi-provider --type='json' -p='[{"op": "add", "path": "/spec/template/spec/containers/0/securityContext", "value": {"privileged": true} }]'
다음 명령을 실행하여
vault-csi-provider
Pod가 올바르게 시작되었는지 확인합니다.$ oc get pods -n vault
출력 예
NAME READY STATUS RESTARTS AGE vault-0 1/1 Running 0 24m vault-csi-provider-87rgw 1/2 Running 0 5s vault-csi-provider-bd6hp 1/2 Running 0 4s vault-csi-provider-smlv7 1/2 Running 0 5s
필요한 시크릿을 저장하도록 HashiCorp Vault를 구성합니다.
다음 명령을 실행하여 보안을 생성합니다.
$ oc exec vault-0 --namespace=vault -- vault kv put secret/example1 testSecret1=my-secret-value
다음 명령을 실행하여 경로
secret/example1
에서 시크릿을 읽을 수 있는지 확인합니다.$ oc exec vault-0 --namespace=vault -- vault kv get secret/example1
출력 예
= Secret Path = secret/data/example1 ======= Metadata ======= Key Value --- ----- created_time 2024-04-05T07:05:16.713911211Z custom_metadata <nil> deletion_time n/a destroyed false version 1 === Data === Key Value --- ----- testSecret1 my-secret-value
Kubernetes 인증을 사용하도록 Vault를 구성합니다.
다음 명령을 실행하여 Kubernetes 인증 방법을 활성화합니다.
$ oc exec vault-0 --namespace=vault -- vault auth enable kubernetes
출력 예
Success! Enabled kubernetes auth method at: kubernetes/
Kubernetes 인증 방법을 구성합니다.
다음 명령을 실행하여 토큰 검토자를 환경 변수로 설정합니다.
$ TOKEN_REVIEWER_JWT="$(oc exec vault-0 --namespace=vault -- cat /var/run/secrets/kubernetes.io/serviceaccount/token)"
다음 명령을 실행하여 Kubernetes 서비스 IP 주소를 환경 변수로 설정합니다.
$ KUBERNETES_SERVICE_IP="$(oc get svc kubernetes -o go-template="{{ .spec.clusterIP }}")"
다음 명령을 실행하여 Kubernetes 인증 방법을 업데이트합니다.
$ oc exec -i vault-0 --namespace=vault -- vault write auth/kubernetes/config \ issuer="https://kubernetes.default.svc.cluster.local" \ token_reviewer_jwt="${TOKEN_REVIEWER_JWT}" \ kubernetes_host="https://${KUBERNETES_SERVICE_IP}:443" \ kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
출력 예
Success! Data written to: auth/kubernetes/config
다음 명령을 실행하여 애플리케이션에 대한 정책을 생성합니다.
$ oc exec -i vault-0 --namespace=vault -- vault policy write csi -<<EOF path "secret/data/*" { capabilities = ["read"] } EOF
출력 예
Success! Uploaded policy: csi
다음 명령을 실행하여 애플리케이션에 액세스할 인증 역할을 생성합니다.
$ oc exec -i vault-0 --namespace=vault -- vault write auth/kubernetes/role/csi \ bound_service_account_names=default \ bound_service_account_namespaces=default,test-ns,negative-test-ns,my-namespace \ policies=csi \ ttl=20m
출력 예
Success! Data written to: auth/kubernetes/role/csi
다음 명령을 실행하여 모든
vault
Pod가 올바르게 실행되고 있는지 확인합니다.$ oc get pods -n vault
출력 예
NAME READY STATUS RESTARTS AGE vault-0 1/1 Running 0 43m vault-csi-provider-87rgw 2/2 Running 0 19m vault-csi-provider-bd6hp 2/2 Running 0 19m vault-csi-provider-smlv7 2/2 Running 0 19m
다음 명령을 실행하여 모든
secrets-store-csi-driver
Pod가 올바르게 실행되고 있는지 확인합니다.$ oc get pods -n openshift-cluster-csi-drivers | grep -E "secrets"
출력 예
secrets-store-csi-driver-node-46d2g 3/3 Running 0 45m secrets-store-csi-driver-node-d2jjn 3/3 Running 0 45m secrets-store-csi-driver-node-drmt4 3/3 Running 0 45m secrets-store-csi-driver-node-j2wlt 3/3 Running 0 45m secrets-store-csi-driver-node-v9xv4 3/3 Running 0 45m secrets-store-csi-driver-node-vlz28 3/3 Running 0 45m secrets-store-csi-driver-operator-84bd699478-fpxrw 1/1 Running 0 47m
시크릿 공급자 클래스를 생성하여 시크릿 저장소 공급자를 정의합니다.
SecretProviderClass
오브젝트를 정의하는 YAML 파일을 생성합니다.secret-provider-class-vault.yaml
의 예apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: my-vault-provider 1 namespace: my-namespace 2 spec: provider: vault 3 parameters: 4 roleName: "csi" vaultAddress: "http://vault.vault:8200" objects: | - secretPath: "secret/data/example1" objectName: "testSecret1" secretKey: "testSecret1
다음 명령을 실행하여
SecretProviderClass
오브젝트를 생성합니다.$ oc create -f secret-provider-class-vault.yaml
이 시크릿 공급자 클래스를 사용할 배포를 생성합니다.
Deployment
오브젝트를 정의하는 YAML 파일을 생성합니다.deployment.yaml
의 예apiVersion: apps/v1 kind: Deployment metadata: name: busybox-deployment 1 namespace: my-namespace 2 labels: app: busybox spec: replicas: 1 selector: matchLabels: app: busybox template: metadata: labels: app: busybox spec: terminationGracePeriodSeconds: 0 containers: - image: registry.k8s.io/e2e-test-images/busybox:1.29-4 name: busybox imagePullPolicy: IfNotPresent command: - "/bin/sleep" - "10000" volumeMounts: - name: secrets-store-inline mountPath: "/mnt/secrets-store" readOnly: true volumes: - name: secrets-store-inline csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "my-vault-provider" 3
다음 명령을 실행하여
Deployment
오브젝트를 생성합니다.$ oc create -f deployment.yaml
검증
Pod 볼륨 마운트의 HashiCorp Vault에서 보안에 액세스할 수 있는지 확인합니다.
다음 명령을 실행하여 Pod 마운트의 시크릿을 나열합니다.
$ oc exec busybox-<hash> -n my-namespace -- ls /mnt/secrets-store/
출력 예
testSecret1
다음 명령을 실행하여 Pod 마운트의 시크릿을 확인합니다.
$ oc exec busybox-<hash> -n my-namespace -- cat /mnt/secrets-store/testSecret1
출력 예
my-secret-value
2.7.4. 마운트된 콘텐츠의 동기화를 Kubernetes 시크릿으로 활성화
동기화를 활성화하여 마운트된 볼륨의 콘텐츠에서 Kubernetes 시크릿을 생성할 수 있습니다. 동기화를 활성화하려는 예는 배포에서 환경 변수를 사용하여 Kubernetes 시크릿을 참조하는 것입니다.
OpenShift Container Platform 클러스터 및 etcd에 시크릿을 저장하지 않으려면 동기화를 활성화하지 마십시오. 환경 변수를 사용하여 시크릿을 참조하려는 경우와 같이 필요한 경우에만 이 기능을 활성화합니다.
동기화를 활성화하면 보안을 마운트하는 Pod를 시작한 후 마운트된 볼륨의 보안이 Kubernetes 시크릿으로 동기화됩니다.
콘텐츠를 마운트된 모든 Pod가 삭제되면 동기화된 Kubernetes 시크릿이 삭제됩니다.
사전 요구 사항
- Secrets Store CSI Driver Operator가 설치되어 있습니다.
- 보안 저장소 공급자를 설치했습니다.
- 시크릿 공급자 클래스를 생성했습니다.
-
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
다음 명령을 실행하여
SecretProviderClass
리소스를 편집합니다.$ oc edit secretproviderclass my-azure-provider 1
- 1
my-azure-provider
를 시크릿 공급자 클래스의 이름으로 교체합니다.
동기화된 Kubernetes 보안에 대한 구성에
secretsObjects
섹션을 추가합니다.apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: my-azure-provider namespace: my-namespace spec: provider: azure secretObjects: 1 - secretName: tlssecret 2 type: kubernetes.io/tls 3 labels: environment: "test" data: - objectName: tlskey 4 key: tls.key 5 - objectName: tlscrt key: tls.crt parameters: usePodIdentity: "false" keyvaultName: "kvname" objects: | array: - | objectName: tlskey objectType: secret - | objectName: tlscrt objectType: secret tenantId: "tid"
- 파일을 저장하여 변경 사항을 적용합니다.
2.7.5. Pod 볼륨 마운트에서 시크릿 상태 보기
Pod 볼륨 마운트에서 시크릿의 버전을 포함한 자세한 정보를 볼 수 있습니다.
Secrets Store CSI Driver Operator는 Pod와 동일한 네임스페이스에 SecretProviderClassPodStatus
리소스를 생성합니다. 이 리소스를 검토하여 Pod 볼륨 마운트의 보안에 대한 버전을 포함한 자세한 정보를 확인할 수 있습니다.
사전 요구 사항
- Secrets Store CSI Driver Operator가 설치되어 있습니다.
- 보안 저장소 공급자를 설치했습니다.
- 시크릿 공급자 클래스를 생성했습니다.
- Secrets Store CSI Driver Operator에서 볼륨을 마운트하는 Pod를 배포했습니다.
-
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
다음 명령을 실행하여 Pod 볼륨 마운트의 보안에 대한 자세한 정보를 확인합니다.
$ oc get secretproviderclasspodstatus <secret_provider_class_pod_status_name> -o yaml 1
- 1
- 시크릿 공급자 클래스 Pod 상태 오브젝트의 이름은 <
pod_name>-<namespace>-<secret_provider_class_name
> 형식으로 되어 있습니다.
출력 예
... status: mounted: true objects: - id: secret/tlscrt version: f352293b97da4fa18d96a9528534cb33 - id: secret/tlskey version: 02534bc3d5df481cb138f8b2a13951ef podName: busybox-<hash> secretProviderClassName: my-azure-provider targetPath: /var/lib/kubelet/pods/f0d49c1e-c87a-4beb-888f-37798456a3e7/volumes/kubernetes.io~csi/secrets-store-inline/mount
2.7.6. Secrets Store CSI Driver Operator 설치 제거
사전 요구 사항
- OpenShift Container Platform 웹 콘솔에 액세스합니다.
- 클러스터에 대한 관리자 액세스 권한
프로세스
Secrets Store CSI Driver Operator를 설치 제거하려면 다음을 수행합니다.
-
secrets-store.csi.k8s.io
공급자를 사용하는 모든 애플리케이션 Pod를 중지합니다. - 선택한 시크릿 저장소에 대한 타사 공급자 플러그인을 제거합니다.
CSI(Container Storage Interface) 드라이버 및 관련 매니페스트를 제거합니다.
-
Administration
CustomResourceDefinitions ClusterCSIDriver 를 클릭합니다. - 인스턴스 탭에서 secrets-store.csi.k8s.io 의 경우 맨 왼쪽에 있는 드롭다운 메뉴를 클릭한 다음 ClusterCSIDriver 삭제 를 클릭합니다.
- 메시지가 표시되면 삭제를 클릭합니다.
-
Administration
- CSI 드라이버 Pod가 더 이상 실행되지 않는지 확인합니다.
Secrets Store CSI Driver Operator를 설치 제거합니다.
참고Operator를 설치 제거하려면 CSI 드라이버를 먼저 제거해야 합니다.
-
Operators
설치된 Operators를 클릭합니다. - 설치된 Operator 페이지에서 스크롤하거나 "Secrets Store CSI"를 이름으로 검색 상자에 입력하여 Operator를 찾은 다음 클릭합니다.
-
설치된 Operator > Operator 세부 정보 페이지 오른쪽 상단에서 작업
Operator 설치 제거를 클릭합니다. Operator 설치 제거 창이 표시되면 제거 버튼을 클릭하여 네임스페이스에서 Operator를 제거합니다. 클러스터에 Operator가 배포한 애플리케이션을 수동으로 정리해야 합니다.
설치 제거 후 Secrets Store CSI Driver Operator는 더 이상 웹 콘솔의 설치된 Operator 섹션에 나열되지 않습니다.
-
Operators