이 게시물은 Git 레포 평문 시크릿 제거와 Kubernetes Secret 오브젝트 제거를 목표로 Vault 도입 전략을 제시합니다. 두 번째 요건을 위해 K8s Secret은 etcd에 base64로 저장되어 접근 권한이 있으면 값이 노출될 수 있어 구조 자체를 없애는 접근이 필요합니다. Sealed Secrets와 SOPS는 Git 평문 문제는 해결하지만, 결국 복호화된 값이 K8s Secret 오브젝트로 클러스터에 남아 요건을 충족하지 못한다는 점을 설명합니다. Vault는 외부 저장소에 시크릿을 두고 Pod 주입으로 처리해 두 요건을 동시에 만족할 수 있는 현실적 선택지로 소개됩니다. 도입 전 스토리지 백엔드, Seal/Unseal(Auto Unseal), 인증 방법(Kubernetes Auth/ AppRole 등), 최소 권한 정책 설계가 선행되어야 함을 강조합니다. 아키텍처는 CSI Provider와 Vault Agent Injector를 비교하며, K8s Secret 배제를 최우선으로 두면 CSI Provider(기본) 또는 Injector(다이내믹 주입)가 적합하다고 정리합니다. 운영에서는 Audit Log + logrotate, 토큰 주기적 감사/회수 루틴을 반드시 구성하고, 이후 OIDC 기반 신원 체계 확장 및(필요 시) 동적 시크릿/자동 로테이션까지 확장 가능하다고 안내합니다.