시크릿 암호화 설정
- 인쇄
- PDF
시크릿 암호화 설정
- 인쇄
- PDF
기사 요약
이 요약이 도움이 되었나요?
의견을 보내 주셔서 감사합니다.
VPC 환경에서 이용 가능합니다.
Ncloud Kubernetes Service에서는 네이버 클라우드 플랫폼의 Key Management Service(KMS)와 Kubernetes의 Encrypting Confidential Data at Rest를 활용해 etcd에 저장되는 시크릿을 암호화할 수 있습니다.
제약사항
- Kubernetes 1.28 버전 이상부터 제공합니다
- 1.28 이전 버전의 클러스터는 업그레이드 기능을 이용하여 요구되는 버전을 충족 후 사용할 수 있습니다.
- 한 번 설정 된 시크릿 암호화 기능은 해제하거나 변경 할 수 없습니다.
주의
사용 중인 KMS 키를 삭제 할 경우 클러스터의 시크릿을 복구할 수 없습니다.
필수조건
- NCP KMS에 키가 생성되어 있어야 합니다.
- 키의 용도는 암/복호화(AES-256) 이고, 수렴 암호화는 비활성화 되어 있어야 합니다
- KMS 키 정보 조회를 위해 SubAccount인 경우 아래 권한을 추가해야 합니다.
- Service: Key Management Service
- 액션명: View/getKeyList, View/getKeyInfo
- Service: Key Management Service
시크릿 암호화 설정(클러스터 생성 시 설정)
- Ncloud Kubernetes Service > Clusters 에서 [생성하기] 버튼을 클릭합니다.
- 시크릿 암호화에서 [설정] 을 선택합니다.
- 시크릿 암호화에 사용 될 키를 선택합니다.
- 클러스터 설정 완료 후 클러스터를 생성합니다.
시크릿 암호화 설정(기존 클러스터 설정)
- Ncloud Kubernetes Service > 클러스터 > 상세정보 > 시크릿 암호화 에서 [설정] 버튼을 클릭합니다.
- 시크릿 암호화에 사용 될 키를 선택하고 [확인] 버튼을 클릭합니다.
- 클러스터가 설정중 상태로 변경되고, 시크릿 암호화 설정이 진행됩니다.
- 시크릿 암호화 설정이 완료되면 클러스터가 운영중 상태로 변경됩니다.
- 기존 클러스터에 시크릿 암호화를 설정 한 경우 새로운 키를 활용하여 기존 시크릿을 재암호화해야 합니다.
$ kubectl get secrets --all-namespaces -o json | kubectl replace -f -
키 회전
- KMS 키는 자동 회전을 통해 주기적으로 키 회전을 수행하는 것이 보안상 안전합니다.
- KMS 키가 회전되면 기존 시크릿은 이전 키 버전으로 암호화 된 상태로 유지됩니다.
- KMS 키가 회전되면 새로 생성되는 시크릿은 새로운 키로 암호화 되지만 기존 시크릿은 재암호화해야 합니다.
$ kubectl get secrets --all-namespaces -o json | kubectl replace -f -
이 문서가 도움이 되었습니까?