6.19. 보안 저장소 CSI 드라이버

Kubernetes 비밀은 Base64 인코딩으로 저장됩니다. etcd는 이러한 비밀에 대해 저장 시에는 암호화를 제공하지만, 비밀을 검색하면 암호가 해독되어 사용자에게 제공됩니다. 클러스터에서 역할 기반 액세스 제어가 제대로 구성되지 않으면 API 또는 etcd 액세스 권한이 있는 모든 사람이 비밀을 검색하거나 수정할 수 있습니다. 또한, 네임스페이스에 포드를 생성할 권한이 있는 사람은 누구나 해당 액세스 권한을 사용하여 해당 네임스페이스의 모든 비밀을 읽을 수 있습니다.

비밀을 안전하게 저장하고 관리하려면 공급자 플러그인을 사용하여 Azure Key Vault와 같은 외부 비밀 관리 시스템에서 비밀을 마운트하도록 OpenShift Container Platform Secrets Store Container Storage Interface(CSI) 드라이버 운영자를 구성할 수 있습니다. 그러면 애플리케이션은 비밀을 사용할 수 있지만 애플리케이션 포드가 파괴된 후에는 비밀이 시스템에 유지되지 않습니다.

Secrets Store CSI 드라이버 오퍼레이터인 secrets-store.csi.k8s.io 를 사용하면 OpenShift Container Platform에서 엔터프라이즈급 외부 비밀 저장소에 저장된 여러 개의 비밀, 키 및 인증서를 볼륨으로 포드에 마운트할 수 있습니다. Secrets Store CSI 드라이버 운영자는 gRPC를 사용하여 공급자와 통신하여 지정된 외부 비밀 저장소에서 마운트 콘텐츠를 가져옵니다. 볼륨이 연결된 후, 볼륨 안의 데이터는 컨테이너의 파일 시스템에 마운트됩니다. 비밀 저장소 볼륨은 인라인으로 마운트됩니다.

CSI 인라인 볼륨에 대한 자세한 내용은 CSI 인라인 임시 볼륨을 참조하세요.

CSI 드라이버를 사용할 때는 영구 저장소 와 CSI 볼륨 구성 에 익숙해지는 것이 좋습니다.

스토리지 벤더는 일반적으로 Kubernetes의 일부로 스토리지 드라이버를 제공합니다. 컨테이너 스토리지 인터페이스(CSI)를 구현하면 타사 공급업체는 Kubernetes의 핵심 코드를 변경하지 않고도 표준 인터페이스를 사용하여 스토리지 플러그인을 제공할 수 있습니다.

CSI 운영자는 OpenShift Container Platform 사용자에게 트리 내 볼륨 플러그인으로는 불가능한 볼륨 스냅샷과 같은 저장 옵션을 제공합니다.

다음 비밀 저장소 공급자는 연결이 끊긴 클러스터에서 Secrets Store CSI 드라이버를 사용할 수 있도록 지원합니다.

Secrets Store CSI 드라이버와 비밀 저장소 공급자 간의 통신을 활성화하려면 해당 비밀 저장소 공급자, OpenID Connect(OIDC) 발급자 및 보안 토큰 서비스(STS)에 대한 Virtual Private Cloud(VPC) 엔드포인트 또는 동등한 연결을 구성합니다. 정확한 구성은 비밀 저장소 공급자, 인증 방법 및 연결이 끊긴 클러스터의 유형에 따라 달라집니다.