1. 사용 이유
예를 들어 데이터베이스를 쿠버네티스 파드에 컨테이너로 띄운다면, 데이터베이스 사용자 아이디와 패스워드 같은 기밀 정보가 컨테이너에 주입되어야 한다. 이를 위한 몇가지 방법을 생각해볼 수 있다.(Docker 기준)
- 이미지를 정의하는 Dockerfile 에 직접 아이디와 패스워드를 기재하는 방법
- 이미지를 정의하는 Dockerfile 에 ARG 지시자로 수신하고, ENV 지시자로 런타임 변수로 저장하도록 작성하고 이미지 빌드시 --build-arg 로 빌드 인수로 아이디와 패스워드를 전달하는 방법
- 컨테이너 실행시에만 -e 로 인수로 아이디와 패스워드를 전달하는 방법
- Pod나 Deployment의 매니페스트 파일에 직접 아이디와 패스워드를 기재하는 방법
그러나, 이미지 정의 파일에 기재하거나 이미지 빌드시 인수로 넘기는 방법은 이미지 자체에 기밀 정보가 포함되기 때문에 보안상 바람직하지 않다. 이미지 레지스트리 서버에 올라가기 때문이다. 더구나 기밀 정보 내용을 변경할 때 마다 이미지를 재빌드 하여야 한다는 번거로움이 있다.(빌드시 DOCKER_BUILDKIT 을 사용하여 secret 을 이미지에 저장되지 않도록 할 수 있기는 하다.)
Pod나 Deployment 매니페스트에 기밀 정보를 기재하는 것도 해당 매니페스트를 github 같은 소스 저장소에 올리기 때문에 보안상 바람직하지 않다. 또한 해당 기밀 정보를 여러 애플리케이션에서 필요로 할 경우 애플리케이션 마다 기밀 정보를 중복되게 기재해야 하기 때문에 관리가 어려워진다.
이러한 문제점들을 해결하기 위해서 Secret 리소스를 사용할 수 있다. 기밀 정보를 별도의 리소스에 단일 저장해두고 여러 파드에서 읽어들이는 것이다.
2. 시크릿 리소스의 종류(타입)
| 종류 | 용도 |
| Opaque | 범용 |
| kubernetes.io/tls | TLS 인증서용 |
| kubernetes.io/basic-auth | 기본 인증용 |
| kubernetes.io/dockerconfigjson | 도커 레지스트리 인증 정보용 |
| kubernetes.io/ssh-auth | SSH 인증 정보용 |
| kubernetes.io/service-account-token | 서비스 어카운트 토큰용 |
| bootstrap.kubernetes.io/token | Bootstrap 토큰용 |
'Kubernetes' 카테고리의 다른 글
| [Kubernetes] TLS, Docker 레지스트리, Basic, SSH 시크릿 생성 (0) | 2026.01.10 |
|---|---|
| [Kubernetes] 범용 Secret 을 생성하는 4가지 방법(Opaque) (0) | 2026.01.07 |
| [Kubernetes] 파드에 환경 변수 주입하는 5가지 방법 (0) | 2026.01.07 |
| [Kubernetes] Ingress 이해 (0) | 2025.12.27 |
| [Kubernetes] None-Selector 서비스(외부 서비스로의 로드 밸런싱) (0) | 2025.12.05 |
망원동똑똑이
프로그래밍 지식을 자유롭게 모아두는 곳입니다.
