TLS를 사용하여 NGINX 수신 컨트롤러를 사용하도록 비밀 저장소 CSI 드라이버 설정

아티클
08/02/2024

이 문서에서는 AKS(Azure Kubernetes Service) 클러스터 및 AKV(Azure Key Vault) 인스턴스에서 TLS를 사용하여 NGINX 수신 컨트롤러를 보호하는 프로세스를 안내합니다. 자세한 내용은 Kubernetes의 TLS를 참조하세요.

다음 방법 중 하나를 사용하여 수신 TLS 인증서를 클러스터로 가져올 수 있습니다.

애플리케이션: 애플리케이션 배포 매니페스트는 공급자 볼륨을 선언하고 탑재합니다. 애플리케이션을 배포할 때만 클러스터에서 인증서를 사용할 수 있습니다. 애플리케이션을 제거하면 비밀도 제거됩니다. 이 시나리오는 애플리케이션의 보안 인프라 및 클러스터와의 통합을 담당하는 개발 팀에 적합합니다.
수신 컨트롤러: 수신 배포는 공급자 볼륨을 선언하고 탑재하도록 수정됩니다. 수신 Pod를 만들 때 비밀을 가져옵니다. 애플리케이션의 Pod는 TLS 인증서에 액세스할 수 없습니다. 이 시나리오는 한 팀(예:, IT)이 인프라 및 네트워킹 구성 요소(HTTPS TLS 인증서 포함)를 관리하고 생성하며 다른 팀이 애플리케이션 수명 주기를 관리하는 시나리오에 적합합니다.

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
시작하기 전에 Azure CLI 버전이 >= 2.30.0인지 확인하거나 최신 버전을 설치합니다.
비밀 저장소 CSI 드라이버가 구성된 AKS 클러스터입니다.
Azure Key Vault 인스턴스.

TLS 인증서 생성

다음 명령을 사용하여 TLS 인증서를 생성합니다.

export CERT_NAME=aks-ingress-cert
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -out aks-ingress-tls.crt \
    -keyout aks-ingress-tls.key \
    -subj "/CN=demo.azure.com/O=aks-ingress-tls"

AKV로 인증서 가져오기

다음 명령을 사용하여 인증서를 PFX 파일로 내보냅니다.

export AKV_NAME="[YOUR AKV NAME]"
openssl pkcs12 -export -in aks-ingress-tls.crt -inkey aks-ingress-tls.key  -out $CERT_NAME.pfx
# skip Password prompt

az keyvault certificate import 명령을 사용하여 인증서를 가져옵니다.

az keyvault certificate import --vault-name $AKV_NAME --name $CERT_NAME --file $CERT_NAME.pfx

SecretProviderClass 배포

다음 명령을 사용하여 새 네임스페이스를 내보냅니다.
```
export NAMESPACE=ingress-basic
```
kubectl create namespace 명령을 사용하여 네임스페이스를 만듭니다.
```
kubectl create namespace $NAMESPACE
```

액세스 ID를 제공하는 메서드를 선택하고 그에 따라 SecretProviderClass YAML을 구성합니다.

AKV에서 프라이빗 키와 인증서를 가져오는 유일한 방법인 objectType=secret을(를) 사용해야 합니다.
secretObjects 섹션에 있는 kubernetes.io/tls을(를) type(으)로 설정합니다.

SecretProviderClass의 예는 다음을 참조하세요.

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: azure-tls
spec:
  provider: azure
  secretObjects:                            # secretObjects defines the desired state of synced K8s secret objects
    - secretName: ingress-tls-csi
      type: kubernetes.io/tls
      data: 
        - objectName: $CERT_NAME
          key: tls.key
        - objectName: $CERT_NAME
          key: tls.crt
  parameters:
    usePodIdentity: "false"
    useVMManagedIdentity: "true"
    userAssignedIdentityID: <client id>
    keyvaultName: $AKV_NAME                 # the name of the AKV instance
    objects: |
      array:
        - |
          objectName: $CERT_NAME
          objectType: secret
    tenantId: $TENANT_ID                    # the tenant ID of the AKV instance

kubectl apply 명령을 사용하여 Kubernetes 클러스터에 SecretProviderClass를 적용합니다.
```
kubectl apply -f secretProviderClass.yaml -n $NAMESPACE
```

수신 컨트롤러 배포

공식 수신 차트 리포지토리 추가

다음 helm 명령을 사용하여 공식 수신 차트 리포지토리를 추가합니다.

helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
helm repo update

NGINX 수신 구성 및 배포

시나리오에 따라 애플리케이션 또는 수신 컨트롤러에 인증서를 바인딩하도록 선택할 수 있습니다. 선택 영역에 따라 아래 지침을 따릅니다.

애플리케이션에 인증서 바인딩

helm install 명령을 사용하여 애플리케이션에 인증서를 바인딩합니다. 애플리케이션의 배포는 비밀 저장소 CSI 드라이버의 Azure Key Vault 공급자를 참조합니다.

helm install ingress-nginx/ingress-nginx --generate-name \
    --namespace $NAMESPACE \
    --set controller.replicaCount=2 \
    --set controller.nodeSelector."kubernetes\.io/os"=linux \
    --set controller.service.annotations."service\.beta\.kubernetes\.io/azure-load-balancer-health-probe-request-path"=/healthz \
    --set defaultBackend.nodeSelector."kubernetes\.io/os"=linux

수신 컨트롤러에 인증서 바인딩

helm install 명령을 사용하여 수신 컨트롤러에 인증서를 바인딩합니다. 수신 컨트롤러의 배포는 비밀 저장소 CSI 드라이버의 Azure Key Vault 공급자를 참조합니다.

참고 항목

Microsoft Entra Pod 관리 ID를 액세스 방법으로 사용하지 않는 경우 --set controller.podLabels.aadpodidbinding=$AAD_POD_IDENTITY_NAME을 사용하여 줄을 제거합니다.
또한 SecretProviderClass를 Pod에 바인딩해야 비밀 저장소 CSI 드라이버에서 이를 탑재하고 Kubernetes 비밀을 생성합니다. 탑재된 콘텐츠를 Kubernetes 비밀과 동기화를 참조하세요.

helm install ingress-nginx/ingress-nginx --generate-name \
    --namespace $NAMESPACE \
    --set controller.replicaCount=2 \
    --set controller.nodeSelector."kubernetes\.io/os"=linux \
    --set defaultBackend.nodeSelector."kubernetes\.io/os"=linux \
    --set controller.service.annotations."service\.beta\.kubernetes\.io/azure-load-balancer-health-probe-request-path"=/healthz \
    --set controller.podLabels.aadpodidbinding=$AAD_POD_IDENTITY_NAME \
    -f - <<EOF
controller:
  extraVolumes:
      - name: secrets-store-inline
        csi:
          driver: secrets-store.csi.k8s.io
          readOnly: true
          volumeAttributes:
            secretProviderClass: "azure-tls"
  extraVolumeMounts:
      - name: secrets-store-inline
        mountPath: "/mnt/secrets-store"
        readOnly: true
EOF

kubectl get secret 명령을 사용하여 Kubernetes 비밀이 만들어졌는지 확인합니다.

kubectl get secret -n $NAMESPACE

NAME                                             TYPE                                  DATA   AGE
ingress-tls-csi                                  kubernetes.io/tls                     2      1m34s

애플리케이션 배포

다시 말하지만, 지침은 시나리오에 따라 약간 변경됩니다. 선택한 시나리오에 해당하는 지침을 따릅니다.

애플리케이션 참조를 사용하여 애플리케이션 배포

다음과 같은 내용으로 aks-helloworld-one.yaml라는 파일을 만듭니다.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: aks-helloworld-one  
spec:
  replicas: 1
  selector:
    matchLabels:
      app: aks-helloworld-one
  template:
    metadata:
      labels:
        app: aks-helloworld-one
    spec:
      containers:
      - name: aks-helloworld-one
        image: mcr.microsoft.com/azuredocs/aks-helloworld:v1
        ports:
        - containerPort: 80
        env:
        - name: TITLE
          value: "Welcome to Azure Kubernetes Service (AKS)"
        volumeMounts:
        - name: secrets-store-inline
          mountPath: "/mnt/secrets-store"
          readOnly: true
      volumes:
      - name: secrets-store-inline
        csi:
          driver: secrets-store.csi.k8s.io
          readOnly: true
          volumeAttributes:
            secretProviderClass: "azure-tls"
---
apiVersion: v1
kind: Service
metadata:
  name: aks-helloworld-one  
spec:
  type: ClusterIP
  ports:
  - port: 80
  selector:
    app: aks-helloworld-one

다음과 같은 내용으로 aks-helloworld-two.yaml라는 파일을 만듭니다.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: aks-helloworld-two  
spec:
  replicas: 1
  selector:
    matchLabels:
      app: aks-helloworld-two
  template:
    metadata:
      labels:
        app: aks-helloworld-two
    spec:
      containers:
      - name: aks-helloworld-two
        image: mcr.microsoft.com/azuredocs/aks-helloworld:v1
        ports:
        - containerPort: 80
        env:
        - name: TITLE
          value: "AKS Ingress Demo"
        volumeMounts:
        - name: secrets-store-inline
          mountPath: "/mnt/secrets-store"
          readOnly: true
      volumes:
      - name: secrets-store-inline
        csi:
          driver: secrets-store.csi.k8s.io
          readOnly: true
          volumeAttributes:
            secretProviderClass: "azure-tls"
---
apiVersion: v1
kind: Service
metadata:
  name: aks-helloworld-two
spec:
  type: ClusterIP
  ports:
  - port: 80
  selector:
    app: aks-helloworld-two

kubectl apply 명령을 사용하여 클러스터에 YAML 파일을 적용합니다.

kubectl apply -f aks-helloworld-one.yaml -n $NAMESPACE
kubectl apply -f aks-helloworld-two.yaml -n $NAMESPACE

kubectl get secret 명령을 사용하여 Kubernetes 비밀이 만들어졌는지 확인합니다.

kubectl get secret -n $NAMESPACE

NAME                                             TYPE                                  DATA   AGE
ingress-tls-csi                                  kubernetes.io/tls                     2      1m34s

수신 컨트롤러 참조를 사용하여 애플리케이션 배포