10주차 - K8s 시크릿 관리 Update(5)

10주차 - K8s 시크릿 관리 Update(5)

PKI Secrets운영자가 단일 Vault PKI 시크릿을 단일 Kubernetes 시크릿으로 동기화하는 데 필요한 구성Ingress, mTLS, Webapp 등 PKI 인증서를 사용하는 애플리케이션에서 동적으로 변경된 PKI 인증서를 사용할 수 있도록 지원Vault PKI 시크릿엔진 사용을 위한 설정#kubectl exec --stdin=true --tty=true vault-0 -n vault -- /bin/sh#1. PKI 엔진 활성화(마운트)vault secrets enable -path=pki pki#2. Root CA(Common Name) 인증서 생성(발급)- Vault 자체가 루트 인증기관(CA)이 됨- Root CA 인증서와 개인키를 Vault 내부에 생성·보관 - 10년 TTL- PE..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 4. 14.
  • textsms
10주차 - K8s 시크릿 관리 Update(4)

10주차 - K8s 시크릿 관리 Update(4)

Vault Secrets Operator (VSO) VSO을 통해서 획득한 시크릿을 Kubernetes Secret을 자동으로 동기화하고 관리하는 방법Vault Secrets Operator는 지원하는 Custom Resource Definitions(CRD) 집합의 변경 사항을 감시하여 작동CRD는 시크릿의 지원되는 소스 중 하나에서 Kubernetes Secret으로 동기화할 수 있도록 필요한 사양을 제공오퍼레이터는 소스 시크릿 데이터를 대상 Kubernetes Secret에 직접 작성하며, 소스에 변경 사항이 발생할 경우 해당 내용을 대상에도 수명 주기 동안 지속적으로 반영이렇게 함으로써 애플리케이션은 대상 시크릿에만 접근하면 그 안의 시크릿 데이터를 사용할 수 있음기능여러 시크릿 소스로부터의 동기..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 4. 14.
  • textsms
10주차 - K8s 시크릿 관리 Update(3)

10주차 - K8s 시크릿 관리 Update(3)

Jenkins + Vault (AppRole) - CI Vault KV Store에 저장한 username, password을 Jenkins을 활용해서 획득CI 파이프라인에서 정적(Static) 시크릿을 외부에 저장하고 관리할 경우 사용할 수 있음Jenkins에서 Vault Plugin 설치Jenkins 관리 > Pluguns > Available plugins > vault Vault AppRole 정보 확인 ⇒ Secret ID는 1시간 만료이므로, 그냥 다시 생성해서, 해당 값을 젠킨스에 설정하고 빌드 실습# Role ID 확인 및 Secret ID 신규 발급ROLE_ID=$(vault read -field=role_id auth/approle/role/sampleapp-role/role-id)SE..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 4. 13.
  • textsms
10주차 - K8s 시크릿 관리 Update(2)

10주차 - K8s 시크릿 관리 Update(2)

Kubernetes에 Vault 설치 Helm을 사용한 Vault 배포네임스페이스 생성 및 Helm Repo 추가# Create a Kubernetes namespace.kubectl create namespace vault# View all resources in a namespace.kubectl get all --namespace vault# Setup Helm repohelm repo add hashicorp https://helm.releases.hashicorp.com# Check that you have access to the chart.helm search repo hashicorp/vault# NAME CHART VERSIO..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 4. 13.
  • textsms
10주차 - K8s 시크릿 관리 Update(1)

10주차 - K8s 시크릿 관리 Update(1)

Secret이란 시크릿(Secret)이란 민감한 데이터 정보를 의미하며, 인증/보안 정보를 안전하게 저장하고 사용하는 방법을 의미한다.비밀번호Cloud Credentials : AWS, GCP, Azure, NCP 등Database Credentials : MySQL 등SSH KeyToken, API Key : GitHub, Telegram, Slack, OpenAI, Claude인증서(PKI, TLS 등) Vault란 HashiCorp Vault는 신원 기반(identity-based)의 시크릿 및 암호화 관리 시스템인증(authentication) 및 인가(authorization) 방법을 통해 암호화 서비스를 제공하여 비밀에 대한 안전하고 감사 가능하며 제한된 접근을 보장   동작방식Vault는 주..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 4. 13.
  • textsms
9주차 - EKS Upgrade

9주차 - EKS Upgrade

Blue/Green Upgrade 클러스터에 애플리케이션을 배포하고, AWS Route 53의 가중치 기반 라우팅을 사용하여 트래픽을 점진적으로 Blue에서 Green으로 전환 SSH 키 생성 및 AWS Secrets Manager 생성#로컬 서버 내 공개키/개인키 생성ssh-keygen -t rsa#AWS Secrets Manager 개인키 등록aws secretsmanager create-secret \ --name github-blueprint-ssh-key \ --secret-string "$(cat ~/.ssh/id_rsa)" 개인 Github 공개키 등록Settings > SSH and GPG Keys > SSH Keys > Authentication Keys로컬 서버(WSL2 Ubuntu..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 4. 6.
  • textsms
8주차 - K8S CI/CD (4)

8주차 - K8S CI/CD (4)

Argo CD + K8S(Kind) Repo(ops-deploy) 에 nginx helm chart 를 Argo CD를 통한 배포 2 : ArgoCD Declarative SetupArgoCD Finalizers리소스 정리 보장: 애플리케이션 삭제 시 관련 리소스가 남지 않도록 보장합니다. 이는 GitOps 워크플로우에서 선언적 상태를 유지하는 데 중요합니다.의도치 않은 삭제 방지: finalizer가 없으면 실수로 Argo App을 삭제해도 K8S 리소스가 남아 혼란이 생길 수 있습니다. finalizer는 이를 방지합니다.App of Apps 패턴 지원: 여러 애플리케이션을 계층적으로 관리할 때, 상위 애플리케이션 삭제 시 하위 리소스까지 정리되도록 합니다.dev-nginx App 생성 및 Auto ..

  • format_list_bulleted 2025_AEWS Study
  • · 2025. 3. 30.
  • textsms