11---
2- title : kubectl을 사용한 시크릿 관리
2+ title : kubectl을 사용한 시크릿(Secret) 관리
33content_type : task
44weight : 10
55description : kubectl 커맨드를 사용하여 시크릿 오브젝트를 생성.
66---
77
88<!-- overview -->
99
10+ 이 페이지는 ` kubectl ` 커맨드라인 툴을 이용하여 쿠버네티스
11+ {{<glossary_tooltip text="시크릿" term_id="secret">}}을
12+ 생성, 편집, 관리, 삭제하는 방법을 보여준다.
13+
1014## {{% heading "prerequisites" %}}
1115
1216{{< include "task-tutorial-prereqs.md" >}}
@@ -15,64 +19,64 @@ description: kubectl 커맨드를 사용하여 시크릿 오브젝트를 생성.
1519
1620## 시크릿 생성
1721
18- ` 시크릿 ` 에는 파드가 데이터베이스에 접근하는 데 필요한 사용자 자격 증명이 포함될 수 있다.
19- 예를 들어 데이터베이스 연결 문자열은 사용자 이름과 암호로 구성된다.
20- 사용자 이름은 로컬 컴퓨터의 ` ./username.txt ` 파일에, 비밀번호는
21- ` ./password.txt ` 파일에 저장할 수 있다.
22+ ` 시크릿 ` 오브젝트는 파드가 서비스에 접근하기 위해 사용하는 자격 증명과 같은
23+ 민감한 데이터를 저장한다. 예를 들어 데이터베이스에 접근하는데 필요한 사용자 이름과 비밀번호를
24+ 저장하기 위해서 시크릿이 필요할 수 있다.
2225
23- ``` shell
24- echo -n ' admin' > ./username.txt
25- echo -n ' 1f2d1e2e67df' > ./password.txt
26- ```
27- 이 명령에서 ` -n ` 플래그는 생성된 파일의
28- 텍스트 끝에 추가 개행 문자가 포함되지 않도록 해 준다. 이는 ` kubectl ` 이 파일을 읽고
29- 내용을 base64 문자열로 인코딩할 때 개행 문자도 함께 인코딩될 수 있기 때문에
30- 중요하다.
26+ 명령어를 통해 원시 데이터를 바로 보내거나, 파일에 자격 증명을 저장하고 명령어로 전달하는 방식으로
27+ 시크릿을 생성할 수 있다. 다음 명령어는 사용자 이름을 ` admin ` 으로
28+ 비밀번호는 ` S!B\*d$zDsb= ` 으로 저장하는 시크릿을 생성한다.
29+
30+ ### 원시 데이터 사용
3131
32- ` kubectl create secret ` 명령은 이러한 파일들을 시크릿으로 패키징하고
33- API 서버에 오브젝트를 생성한다.
32+ 다음 명령어를 실행한다.
3433
3534``` shell
3635kubectl create secret generic db-user-pass \
37- --from-file=./ username.txt \
38- --from-file=./ password.txt
36+ --from-literal= username=admin \
37+ --from-literal= password= ' S!B\*d$zDsb= '
3938```
39+ 문자열에서 ` $ ` , ` \ ` , ` * ` , ` = ` 및 ` ! ` 과 같은 특수 문자를 이스케이프(escape)하기
40+ 위해서는 작은따옴표 ` '' ` 를 사용해야 한다. 그렇지 않으면 셸은 이런 문자들을
41+ 해석한다.
4042
41- 출력은 다음과 유사하다.
43+ ### 소스 파일 사용
4244
43- ```
44- secret/db-user-pass created
45- ```
45+ 1 . base64로 인코딩된 자격 증명의 값들을 파일에 저장한다.
4646
47- 기본 키 이름은 파일 이름이다. 선택적으로 ` --from-file=[key=]source ` 를 사용하여 키 이름을 설정할 수 있다.
48- 예제:
47+ ``` shell
48+ echo -n ' admin' | base64 > ./username.txt
49+ echo -n ' S!B\*d$zDsb=' | base64 > ./password.txt
50+ ```
51+ ` -n ` 플래그는 생성된 파일이 텍스트 끝에 추가적인 개행 문자를 갖지
52+ 않도록 보장한다. 이는 ` kubectl ` 이 파일을 읽고 내용을 base64
53+ 문자열로 인코딩할 때 개행 문자도 함께 인코딩될 수 있기 때문에
54+ 중요하다. 파일에 포함된 문자열에서 특수 문자를 이스케이프 할
55+ 필요는 없다.
4956
50- ``` shell
51- kubectl create secret generic db-user-pass \
52- --from-file=username=./username.txt \
53- --from-file=password=./password.txt
54- ```
57+ 1 . ` kubectl ` 명령어에 파일 경로를 전달한다.
5558
56- 파일에 포함하는 암호 문자열에서
57- 특수 문자를 이스케이프하지 않아도 된다.
59+ ``` shell
60+ kubectl create secret generic db-user-pass \
61+ --from-file=./username.txt \
62+ --from-file=./password.txt
63+ ```
64+ 기본 키 이름은 파일 이름이다. 선택적으로 ` --from-file=[key=]source ` 를 사용하여
65+ 키 이름을 설정할 수 있다. 예제:
5866
59- ` --from-literal=<key>=<value> ` 태그를 사용하여 시크릿 데이터를 제공할 수도 있다.
60- 이 태그는 여러 키-값 쌍을 제공하기 위해 두 번 이상 지정할 수 있다.
61- ` $ ` , ` \ ` , ` * ` , ` = ` 및 ` ! ` 와 같은 특수 문자는
62- [ shell ] ( https://en.wikipedia.org/wiki/Shell_(computing) ) 에 해석하고 처리하기 때문에
63- 이스케이프할 필요가 있다.
67+ ``` shell
68+ kubectl create secret generic db-user-pass \
69+ --from-file=username=./username.txt \
70+ --from-file=password=./password.txt
71+ ```
6472
65- 대부분의 셸에서 암호를 이스케이프하는 가장 쉬운 방법은 암호를 작은따옴표(` ' ` )로 둘러싸는 것이다.
66- 예를 들어, 비밀번호가 ` S!B\*d$zDsb= ` 인 경우,
67- 다음 커맨드를 실행한다.
73+ 두 방법 모두 출력은 다음과 유사하다.
6874
69- ``` shell
70- kubectl create secret generic db-user-pass \
71- --from-literal=username=devuser \
72- --from-literal=password=' S!B\*d$zDsb='
75+ ```
76+ secret/db-user-pass created
7377```
7478
75- ## 시크릿 확인
79+ ### 시크릿 확인 {#verify-the-secret}
7680
7781시크릿이 생성되었는지 확인한다.
7882
@@ -83,14 +87,14 @@ kubectl get secrets
8387출력은 다음과 유사하다.
8488
8589```
86- NAME TYPE DATA AGE
87- db-user-pass Opaque 2 51s
90+ NAME TYPE DATA AGE
91+ db-user-pass Opaque 2 51s
8892```
8993
90- 다음 명령을 실행하여 ` 시크릿 ` 에 대한 상세 사항을 볼 수 있다 .
94+ 시크릿의 상세 사항을 보자 .
9195
9296``` shell
93- kubectl describe secrets/ db-user-pass
97+ kubectl describe secret db-user-pass
9498```
9599
96100출력은 다음과 유사하다.
@@ -113,62 +117,86 @@ username: 5 bytes
113117기본적으로 ` 시크릿 ` 의 내용을 표시하지 않는다. 이는 ` 시크릿 ` 이 실수로 노출되거나
114118터미널 로그에 저장되는 것을 방지하기 위한 것이다.
115119
120+ ### 시크릿 디코딩 {#decoding-secret}
116121
117- 인코딩된 데이터의 실제 내용을 확인하려면 [ 시크릿 디코딩 ] ( #decoding-secret ) 을 확인하자 .
122+ 1 . 생성한 시크릿을 보려면 다음 명령을 실행한다 .
118123
119- ## 시크릿 디코딩 {#decoding-secret}
124+ ``` shell
125+ kubectl get secret db-user-pass -o jsonpath=' {.data}'
126+ ```
120127
121- 생성한 시크릿을 보려면 다음 명령을 실행한다 .
128+ 출력은 다음과 유사하다 .
122129
123- ``` shell
124- kubectl get secret db-user-pass -o jsonpath= ' {.data} '
125- ```
130+ ` ` ` json
131+ { " password " : " UyFCXCpkJHpEc2I9 " , " username " : " YWRtaW4= " }
132+ ` ` `
126133
127- 출력은 다음과 유사하다 .
134+ 1. ` password ` 데이터를 디코딩한다 .
128135
129- ``` json
130- { "password" : " MWYyZDFlMmU2N2Rm " , "username" : " YWRtaW4= " }
131- ```
136+ ` ` ` shell
137+ echo ' UyFCXCpkJHpEc2I9 ' | base64 --decode
138+ ` ` `
132139
133- 이제 ` password ` 데이터를 디코딩할 수 있다 .
140+ 출력은 다음과 유사하다 .
134141
135- ``` shell
136- # 이 예시는 문서화를 위한 것이다.
137- # 아래와 같은 방법으로 이를 수행했다면,
138- # 'MWYyZDFlMmU2N2Rm' 데이터가 셸 히스토리에 저장될 수 있다.
139- # 당신의 컴퓨터에 접근할 수 있는 사람이 당신 몰래 저장된 명령을 찾아
140- # 시크릿을 base-64 디코드할 수도 있다.
141- # 따라서 이 페이지의 아래 부분에 나오는 다른 단계들과 조합하는 것이 좋다.
142- echo ' MWYyZDFlMmU2N2Rm' | base64 --decode
143- ```
142+ ` ` `
143+ S! B\* d$zDsb =
144+ ` ` `
144145
145- 출력은 다음과 유사하다.
146+ {{< caution > }}
147+ 이 예시는 문서화를 위한 것이다. 실제로,
148+ 이 방법은 인코딩된 데이터가 포함된 명령어를 셸 히스토리에 남기게 되는 문제를 야기할 수 있다.
149+ 당신의 컴퓨터에 접근할 수 있는 사람은 누구나 그 명령어를 찾아 그 비밀 정보를
150+ 디코드할 수 있다. 더 나은 접근법은 시크릿을 보는 명령어와 디코드하는 명령어를
151+ 조합하여 사용하는 것이다.
152+ {{< /caution > }}
146153
147- ```
148- 1f2d1e2e67df
149- ```
154+ ` ` ` shell
155+ kubectl get secret db-user-pass -o jsonpath= ' {.data.password} ' | base64 --decode
156+ ` ` `
150157
151- 인코딩된 시크릿 값이 셸 히스토리에 저장되는 것을 피하려면,
152- 다음의 명령을 실행할 수 있다.
158+ # # 시크릿 편집 {#edit-secret}
159+
160+ 존재하는 ` 시크릿` 오브젝트가 [수정 불가능한(immutable)](/ko/docs/concepts/configuration/secret/# secret-immutable)이
161+ 아니라면 편집할 수 있다. 시크릿을 편집하기 위해서
162+ 다음 명령어를 실행한다.
153163
154164` ` ` shell
155- kubectl get secret db-user-pass -o jsonpath=' {.data.password}' | base64 --decode
165+ kubectl edit secrets < secret-name>
166+ ` ` `
167+
168+ 이 명령어는 기본 편집기를 열고 다음 예시와 같이 ` data`
169+ 시크릿의 값들을 업데이트할 수 있도록 허용한다.
170+
171+ ` ` ` yaml
172+ # 아래 오브젝트를 편집하길 바란다. '#'로 시작하는 줄은 무시될 것이고,
173+ # 빈 파일은 편집을 중단시킬 것이다. 이 파일을 저장하는 동안 오류가 발생한다면
174+ # 이 파일은 관련된 오류와 함께 다시 열린다.
175+ #
176+ apiVersion: v1
177+ data:
178+ password: UyFCXCpkJHpEc2I9
179+ username: YWRtaW4=
180+ kind: Secret
181+ metadata:
182+ creationTimestamp: " 2022-06-28T17:44:13Z"
183+ name: db-user-pass
184+ namespace: default
185+ resourceVersion: " 12708504"
186+ uid: 91becd59-78fa-4c85-823f-6d44436242ac
187+ type: Opaque
156188` ` `
157189
158- 출력은 위의 경우와 유사할 것이다.
159-
160190# # 삭제
161191
162- 생성한 시크릿을 삭제하려면 다음 명령을 실행한다.
192+ 시크릿을 삭제하기 위해서 다음 명령어를 실행한다.
163193
164194` ` ` shell
165195kubectl delete secret db-user-pass
166196` ` `
167197
168- <!-- discussion -->
169-
170198# # {{% heading "whatsnext" %}}
171199
172200- [시크릿 개념](/ko/docs/concepts/configuration/secret/)에 대해 자세히 알아보기
173201- [환경 설정 파일을 사용하여 시크릿을 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-config-file/)하는 방법 알아보기
174- - [ kustomize를 사용하여 시크릿을 관리] ( /ko/docs/tasks/configmap-secret/managing-secret-using-kustomize/ ) 하는 방법 알아보기
202+ - [kustomize를 사용하여 시크릿을 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-kustomize/)하는 방법 알아보기
0 commit comments