5.20. 보안 저장소 CSI 드라이버
5.20.1. 개요
Kubernetes 시크릿은 Base64 인코딩으로 저장됩니다. etcd는 이러한 시크릿을 위해 미사용 암호화를 제공하지만 시크릿이 검색되면 암호 해독되어 사용자에게 제공됩니다. 클러스터에서 역할 기반 액세스 제어가 제대로 구성되지 않은 경우 API 또는 etcd 액세스 권한이 있는 모든 사용자가 시크릿을 검색하거나 수정할 수 있습니다. 또한 네임스페이스에서 Pod를 생성할 권한이 있는 사용자는 해당 액세스 권한을 사용하여 해당 네임스페이스의 보안을 읽을 수 있습니다.
보안을 안전하게 저장하고 관리하려면 공급자 플러그인을 사용하여 OpenShift Container Platform Store Container Storage Interface (CSI) Driver Operator를 구성하여 Azure Key Vault와 같은 외부 시크릿 관리 시스템에서 시크릿을 마운트할 수 있습니다. 그러면 애플리케이션에서 시크릿을 사용할 수 있지만 애플리케이션 pod를 삭제한 후에는 시스템에서 시크릿이 유지되지 않습니다.
Secrets Store CSI Driver Operator, secrets-store.csi.k8s.io 를 사용하면 OpenShift Container Platform에서 엔터프라이즈급 외부 시크릿 저장소에 저장된 여러 시크릿, 키 및 인증서를 볼륨으로 마운트할 수 있습니다. Secrets Store CSI Driver Operator는 gRPC를 사용하여 공급자와 통신하여 지정된 외부 시크릿 저장소에서 마운트 콘텐츠를 가져옵니다. 볼륨이 연결되면 해당 데이터가 컨테이너의 파일 시스템에 마운트됩니다. 시크릿 저장소 볼륨은 인라인으로 마운트됩니다.
CSI 인라인 볼륨에 대한 자세한 내용은 CSI 인라인 임시 볼륨을 참조하십시오.
Secrets Store CSI Driver Operator는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
CSI 드라이버를 사용할 때는 영구 스토리지 및 CSI 볼륨 구성에 대해 숙지하는 것이 좋습니다.
5.20.1.1. 보안 저장소 공급자
Secrets Store CSI Driver Operator와 함께 다음 보안 저장소 공급자를 사용할 수 있습니다.
- AWS Secrets Manager
- AWS Systems Manager 매개변수 저장소
- Azure Key Vault
- Google Secret Manager
- HashiCorp Vault
5.20.2. CSI 정보
스토리지 벤더는 일반적으로 Kubernetes의 일부로 스토리지 드라이버를 제공합니다. CSI(Container Storage Interface) 구현을 통해 타사 공급자는 코어 Kubernetes 코드를 변경하지 않고도 표준 인터페이스를 사용하여 스토리지 플러그인을 제공할 수 있습니다.
CSI Operator는 in-tree 볼륨 플러그인에서 사용할 수 없는 볼륨 스냅샷과 같은 OpenShift Container Platform 사용자 스토리지 옵션을 제공합니다.
5.20.3. Secrets Store CSI 드라이버 설치
사전 요구 사항
- OpenShift Container Platform 웹 콘솔에 액세스합니다.
- 클러스터에 대한 관리자 액세스 권한
프로세스
Secrets Store CSI 드라이버를 설치하려면 다음을 수행합니다.
Secrets Store CSI Driver Operator를 설치합니다.
- 웹 콘솔에 로그인합니다.
-
Operators
OperatorHub를 클릭합니다. - 필터 상자에 "Secrets Store CSI"를 입력하여 Secrets Store CSI 드라이버 Operator를 찾습니다.
- Secrets Store CSI Driver Operator 버튼을 클릭합니다.
- Secrets Store CSI Driver Operator 페이지에서 설치를 클릭합니다.
Operator 설치 페이지에서 다음을 확인합니다.
- 클러스터의 모든 네임스페이스(기본값)가 선택됩니다.
- 설치된 네임스페이스는 openshift-cluster-csi-drivers로 설정됩니다.
설치를 클릭합니다.
설치가 완료되면 Secrets Store CSI Driver Operator가 웹 콘솔의 설치된 Operator 섹션에 나열됩니다.
드라이버에 대한
ClusterCSIDriver인스턴스를 생성합니다(secret-store.csi.k8s.io).-
Administration
CustomResourceDefinitions ClusterCSIDriver 를 클릭합니다. Instances 탭에서 Create ClusterCSIDriver를 클릭합니다.
다음 YAML 파일을 사용합니다.
apiVersion: operator.openshift.io/v1 kind: ClusterCSIDriver metadata: name: secrets-store.csi.k8s.io spec: managementState: Managed- 생성을 클릭합니다.
-
Administration
5.20.4. Secrets Store CSI Driver Operator 설치 제거
사전 요구 사항
- OpenShift Container Platform 웹 콘솔에 액세스합니다.
- 클러스터에 대한 관리자 액세스 권한
프로세스
Secrets Store CSI Driver Operator를 설치 제거하려면 다음을 수행합니다.
-
secrets-store.csi.k8s.io공급자를 사용하는 모든 애플리케이션 Pod를 중지합니다. - 선택한 시크릿 저장소에 대한 타사 공급자 플러그인을 제거합니다.
CSI(Container Storage Interface) 드라이버 및 관련 매니페스트를 제거합니다.
-
Administration
CustomResourceDefinitions ClusterCSIDriver 를 클릭합니다. - 인스턴스 탭에서 secrets-store.csi.k8s.io 의 경우 맨 왼쪽에 있는 드롭다운 메뉴를 클릭한 다음 ClusterCSIDriver 삭제 를 클릭합니다.
- 메시지가 표시되면 삭제를 클릭합니다.
-
Administration
- CSI 드라이버 Pod가 더 이상 실행되지 않는지 확인합니다.
Secrets Store CSI Driver Operator를 설치 제거합니다.
참고Operator를 설치 제거하려면 CSI 드라이버를 먼저 제거해야 합니다.
-
Operators
설치된 Operators를 클릭합니다. - 설치된 Operator 페이지에서 스크롤하거나 "Secrets Store CSI"를 이름으로 검색 상자에 입력하여 Operator를 찾은 다음 클릭합니다.
-
설치된 Operator > Operator 세부 정보 페이지 오른쪽 상단에서 작업
Operator 설치 제거를 클릭합니다. Operator 설치 제거 창이 표시되면 제거 버튼을 클릭하여 네임스페이스에서 Operator를 제거합니다. 클러스터에 Operator가 배포한 애플리케이션을 수동으로 정리해야 합니다.
설치 제거 후 Secrets Store CSI Driver Operator는 더 이상 웹 콘솔의 설치된 Operator 섹션에 나열되지 않습니다.
-
Operators
