SealedSecret을 활용한 Kubernetes Secret 관리 및 GitOps 통합

이 게시물은 Kubernetes 환경에서 민감한 Secret 리소스를 안전하게 관리하며 GitOps와 통합하는 방법을 소개합니다.

Secret과 GitOps의 문제점

• Secret은 base64 인코딩되어 있지만 기본적으로 암호화되지 않아 보안 위험 존재
• Git 저장소에 Secret을 그대로 저장할 경우 민감 정보 노출 가능
• 수동 적용은 비효율적이며 GitOps 철학과 맞지 않음

SealedSecret의 역할과 동작 원리

• kubeseal CLI로 Secret을 암호화한 SealedSecret을 생성하여 Git 저장소에 저장
• Kubernetes 내 SealedSecrets Controller가 SealedSecret을 복호화하여 실제 Secret 생성
• 민감 정보는 암호화 상태로 관리되어 보안성과 GitOps 효율성 확보

설치 및 운영 고려사항

• Helm을 통한 sealed-secrets-controller 설치 및 key 만료 주기 설정 필요
• kubeseal CLI로 암호화된 SealedSecret 생성
• 암·복호화 키 관리 및 백업, 교체 방안 사전 마련 권장

한계와 결론

• SealedSecret은 동적 Secret 발급 등 고급 기능 미지원
• 간단한 설정과 운영으로 GitOps 통합과 보안성을 동시에 달성 가능