Kubernetes에서 Vault Agent Injector로 구성하기(1)

개요

HCP Vault로 AWS와 연동하고 EKS에서 Vault Agent Injector로 구성한 내용을 설명합니다.

💡 추가 비용이 발생될 수 있습니다.

Architecture

HCP Vault 구성

HCP Vault 로그인 진행을 진행 후 Vault > Create cluster 항목으로 이동합니다.

 

 

Provider에서 Amazon Web Service를 클릭합니다.

Vault tier는 Development, Cluster size는 Extra Small을 선택합니다.

Network는 기본으로 제공되는 것을 사용합니다.

💡 만약 사용중인 AWS와 겹치는 내부 대역을 사용하고 있으면 Create new network 선택하여 신규로 내부 대역을 구성합니다.

 

 

Cluster ID는 표시될 이름을 작성합니다.

Temeplates은 Start from scratch를 선택합니다.

Create cluster 버튼을 눌러 cluster를 생성합니다.

💡 Temeplates은 cluster를 생성하였을때 기본으로 제공하는 Teamplate을 의미합니다.

 

 

생성이 완료 되면 다음과 유사해야 합니다.

 

 

VPC Peering 구성

HCP Vault에서는 VPC Peering을 통한 내부 통신을 제공하고 있습니다.

💡 Kubernetes API의 endpoint가 private이라면 VPC Peering으로 진행해야 합니다.

💡 Note: You can learn how to connect to a private HCP Vault cluster on AWS in the Connect an Amazon Transit Gateway to your HashiCorp Virtual Network or Peering an AWS VPC with HashiCorp Cloud Platform (HCP) tutorials, or the Peering an Azure VIrtual Network with HashiCorp Cloud Platform (HCP) tutorial for Azure.

 

앞서 Cluster를 생성할때 Network를 기본으로 설정했다면 아래 스크린샷처럼 demo-hvn이 생성되어 있습니다. demo-hvn을 클릭하여 이동합니다.

 

 

Peering connections 항목으로 이동하여 Create connection으로 VPC Peering을 생성합니다.

 

 

AWS web console를 이용하여 진행합니다.

 

 

아래 스크린샷을 참고하여 connection 정보를 기입 후 Create connection 버튼을 눌러 생성합니다.

 

 

AWS Console - VPC - 피어링 연결 항목에서 vault에서 요청한 peering을 수락하면 다음과 유사합니다.

 

 

정상적으로 peering이 연결되면 다음과 유사합니다.

 

 

💡 연결은 정상이지만 private 통신이 불가능하다면 route table 정보를 확인합니다.