tunamaguro's blog
🐙

ArgoCDとHashicorp Vaultに入門してみる

createdAt
2024-01-07
reading time
7 min read
  • kubernetes

    • はじめに

    Misskey インスタンスを立てたのですがときどき kubernetes を破壊してしまうことがあり、そのたびに手動でkubectl applyhelm installなどを実行して再インストールしていました。 これがかなり手間だったのですが最近ArgoCDの存在を知り、これを使うことで面倒を減らせると思いチュートリアルをやっていました。 最終的な構成は、ArgoCD + Vault + Vault Secrets Operator です。

    作業したリポジトリは以下から確認できます

    https://github.com/tunamaguro/try-argocd

    ArgoCD インストール

    適当なクラスタを事前に立ち上げておいてください。私は kind を使いました

    インストールはHelmを利用して行いました。ほかにkubectl applyする方法もありますが単純に面倒だったのでHelmを使っています。

    Terminal window
    helm repo add argo https://argoproj.github.io/argo-helm
    helm install argocd argo/argo-cd -n argocd --create-namespace -v argocd/values.yaml

    Ref

    とくに深い理由はないのですがこちらに記載のある、HA モードで動かします

    その後。チュートリアルにあるアプリケーションをデプロイして、動作しているかどうか確かめます

    Terminal window
    kubectl apply -f guestbook
    kubectl port-forward service/argocd-server -n argocd 8080:443
    Terminal window
    kubectl -n argocd get secrets argocd-initial-admin-secret -o jsonpath="{.data.password}" | base64 --decode
    argocd login localhost:8080 # user=admin password=上で確認した値
    argocd app sync argocd/guestbook

    Hashicorp Vault のインストール

    https://developer.hashicorp.com/vault/tutorials/kubernetes/kubernetes-minikube-raft

    ArgoCD を使う際の問題の 1 つに Secret があります。よく言われていることですが Secret は単純に base64 でエンコードされているだけなので、これを GitHub などに置くと機密情報が漏洩します。 私の浅い知識で知っている解決策は以下の 2 つです。

    1. 外部の機密管理の仕組みを利用する(e.g External Secrets)
    2. Secret 自体を暗号化する(e.g Seald Secrets)

    暗号化されたとしても GitHub に Secret を置きたくなかったので 1 番の方法を試します。今回は機密管理ツールとしてHashicorp Vaultを利用します

    チュートリアルを参考にマニフェストを作成します

    apiVersion: argoproj.io/v1alpha1
    kind: Application
    metadata:
      name: vault
      namespace: argocd
    spec:
      project: default
      source:
        helm:
          valuesObject:
            injector:
              enabled: false
            server:
              affinity: ""
              ha:
                enabled: true
                raft:
                  enabled: true
        chart: vault
        repoURL: https://helm.releases.hashicorp.com
        targetRevision: 0.27.0
      destination:
        server: "https://kubernetes.default.svc"
        namespace: vault
      syncPolicy:
        syncOptions:
          - CreateNamespace=true

    https://github.com/tunamaguro/try-argocd/blob/4dec56ca00be2c4d77c6293bb620ab06e81864da/vault/application.yaml

    Vault を機密管理ツールとして使うだけなので、Injector はなしにしてあります

    次に暗号化に使う鍵を生成して初期化します。

    Terminal window
    kubectl -n vault exec -it pods/vault-0 -- vault operator init \
        -key-shares=1 \
        -key-threshold=1 \
        -format=json > cluster-keys.json

    --key-sharesがマスタキーの分割数、key-thresholdが分割されたキー何個で複合できるかどうからしいです。デフォルトだと分割数が 5 で複合に必要な数は 3 個のはずです。
    https://developer.hashicorp.com/vault/docs/commands/operator/init

    実際に生成されたキーは次のような形です

    {
      "unseal_keys_b64": ["BzSS28Rw+5I8spE7uXbJ3Yo4eODkanY031/O2kV1yoY="],
      "unseal_keys_hex": [
        "073492dbc470fb923cb2913bb976c9dd8a3878e0e46a7634df5fceda4575ca86"
      ],
      "unseal_shares": 1,
      "unseal_threshold": 1,
      "recovery_keys_b64": [],
      "recovery_keys_hex": [],
      "recovery_keys_shares": 0,
      "recovery_keys_threshold": 0,
      "root_token": "hvs.MT0LzT3HrDAMYmouKMrw7LE5"
    }

    開封処理を行うと Sealed が false になっているはずです。

    Terminal window
    kubectl -n vault exec -it pods/vault-0  -- vault operator unseal BzSS28Rw+5I8spE7uXbJ3Yo4eODkanY031/O2kV1yoY= # unseal_keys_b64の値を指定する

    出力内のSealedが false になるまで繰り返します

    Terminal window
    Key             Value
    ---             -----
    Seal Type       shamir
    Initialized     true
    Sealed          false  # ここ
    Total Shares    1
    Threshold       1
    Version         1.15.2
    Build Date      2023-11-06T11:33:28Z
    Storage Type    file
    Cluster Name    vault-cluster-516e83d9
    Cluster ID      01f71d1b-1faf-e74f-3cb2-753e1eeb473b
    HA Enabled      true

    他のポッドをクラスターに参加させつつ開封処理を繰り返します

    Terminal window
    # Raft ? のクラスターに参加させる
    kubectl exec -ti vault-1 -- vault operator raft join http://vault-0.vault-internal:8200
    kubectl exec -ti vault-2 -- vault operator raft join http://vault-0.vault-internal:8200
    # 開封処理
    kubectl -n vault exec -it pods/vault-1  -- vault operator unseal BzSS28Rw+5I8spE7uXbJ3Yo4eODkanY031/O2kV1yoY=
    kubectl -n vault exec -it pods/vault-2  -- vault operator unseal BzSS28Rw+5I8spE7uXbJ3Yo4eODkanY031/O2kV1yoY=

    各ポッドのステータスが Running になれば終了です

    Vault Secrets Operator のインストール

    https://developer.hashicorp.com/vault/tutorials/kubernetes/vault-secrets-operator

    当初は前述の External Secret を使うつもりでしたが vault 公式の Operator があるらしいのでこちらを試します

    vault で kubernetes 認証を有効化します。これを使うと ServiceAccount と vault の権限管理を連携できるらしいです

    Terminal window
    kubectl -n vault exec -it pods/vault-0 -- /bin/sh
    vault login
    vault auth enable -path demo-auth-mount kubernetes
    vault write auth/demo-auth-mount/config \ kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443"

    key-value エンジンを追加します

    Terminal window
    vault secrets enable -path=kvv2 kv-v2

    先ほど作成したkvv2以下で読み込みのみが可能なポリシーを作成する

    Terminal window
    vault policy write dev - <<EOF path "kvv2/*" { capabilities = ["read"] } EOF

    ポリシーとサービスアカウントを紐づける。今回の場合app名前空間のdeafaultサービスアカウントにdevポリシーを割り当てるという形のはずです。 残りのaudienceはドキュメントを確認したんですが、何を設定しているのかよくわかっていません。詳しい人がいれば教えてください

    https://developer.hashicorp.com/vault/api-docs/auth/kubernetes

    Terminal window
    vault write auth/demo-auth-mount/role/role1 \ bound_service_account_names=default \ bound_service_account_namespaces=app \ policies=dev \ audience=vault \ ttl=24h

    シークレットを作成します

    Terminal window
    vault kv put kvv2/webapp/config username="static-user" password="static-password"

    ようやく Operator をデプロイします

    apiVersion: argoproj.io/v1alpha1
    kind: Application
    metadata:
      name: vault-secrets-operator
      namespace: argocd
    spec:
      project: default
      source:
        helm:
          valuesObject:
            defaultVaultConnection:
              enabled: true
              address: "http://vault.vault.svc.cluster.local:8200"
              skipTLSVerify: false
            controller:
              manager:
                clientCache:
                  persistenceModel: direct-encrypted
                  storageEncryption:
                    enabled: true
                    mount: demo-auth-mount
                    keyName: vso-client-cache
                    transitMount: demo-transit
                    kubernetes:
                      role: auth-role-operator
                      serviceAccount: demo-operator
        chart: vault-secrets-operator
        repoURL: https://helm.releases.hashicorp.com
        targetRevision: 0.4.2
      destination:
        server: "https://kubernetes.default.svc"
        namespace: vault-secrets-operator-system
      syncPolicy:
        syncOptions:
          - CreateNamespace=true

    Secret を作る

    軽くドキュメントを読んだだけなので間違っているかもしれません

    どの vault に接続するかを示すVaultConnectionと認証情報を示すVaultAuthを組み合わせて Secret を作成します。

    というわけで用意されているマニフェストをapplyします

    Terminal window
    kubectl apply -f learn-vault-secrets-operator/vault/vault-auth-static.yaml
    kubectl apply -f learn-vault-secrets-operator/vault/static-secret.yaml

    すると Secret が増えているはずです

    Terminal window
    kubectl get secrets -n app
    NAME       TYPE     DATA   AGE
    secretkv   Opaque   3      39s
    Terminal window
    kubectl get secrets -n app secretkv -o yaml
    apiVersion: v1
    data:
      _raw: eyJkYXRhIjp7InBhc3N3b3JkIjoic3RhdGljLXBhc3N3b3JkIiwidXNlcm5hbWUiOiJzdGF0aWMtdXNlciJ9LCJtZXRhZGF0YSI6eyJjcmVhdGVkX3RpbWUiOiIyMDI0LTAxLTA1VDE5OjU3OjQ5Ljc0NDAyNTYxWiIsImN1c3RvbV9tZXRhZGF0YSI6bnVsbCwiZGVsZXRpb25fdGltZSI6IiIsImRlc3Ryb3llZCI6ZmFsc2UsInZlcnNpb24iOjF9fQ==
      password: c3RhdGljLXBhc3N3b3Jk
      username: c3RhdGljLXVzZXI=
    kind: Secret
    (snip)

    _rawには base64 エンコードされたデータが格納されていました。

    Terminal window
    echo eyJkYXRhIjp7InBhc3N3b3JkIjoic3RhdGljLXBhc3N3b3JkIiwidXNlcm5hbWUiOiJzdGF0aWMtdXNlciJ9LCJtZXRhZGF0YSI6eyJjcmVhdGVkX3RpbWUiOiIyMDI0LTAxLTA1VDE5OjU3OjQ5Ljc0NDAyNTYxWiIsImN1c3RvbV9tZXRhZGF0YSI6bnVsbCwiZGVsZXRpb25fdGltZSI6IiIsImRlc3Ryb3llZCI6ZmFsc2UsInZlcnNpb2
    4iOjF9fQ== | base64 --decode > secret.json
    {
      "data": { "password": "static-password", "username": "static-user" },
      "metadata": {
        "created_time": "2024-01-05T19:57:49.74402561Z",
        "custom_metadata": null,
        "deletion_time": "",
        "destroyed": false,
        "version": 1
      }
    }

    vault に格納されている値を更新すると Secret も更新されます

    Terminal window
    vault kv put kvv2/webapp/config username="static-user2" password="static-password2"

    おそらくこれの更新頻度はrefreshAfterで制御できるはずです

    apiVersion: secrets.hashicorp.com/v1beta1
    kind: VaultStaticSecret
    metadata:
      name: vault-kv-app
      namespace: app
    spec:
    (snip)
    

      # dest k8s secret
      destination:
        name: secretkv
        create: true
    

      # static secret refresh interval
      refreshAfter: 30s
    

      # Name of the CRD to authenticate to Vault
      vaultAuthRef: static-auth

    おわりに

    この後VaultDynamicSecretを検証して、vault の値が更新されるたびに Secret を利用しているポッドが更新されることを確認しましたが、書く元気がなくなったのでここで終わります(現在時刻 00:03)。

    試してみた感想として Vault はかなり直感的に扱えるのでそこは素晴らしいと感じました。ただ、Vault を再起動するたびにunsealや、クラスターへの参加を毎回手動で行う必要があるのがかなりつらそうです。 実際のところ、自動で unseal するauto-unsealauto-joinはあるらしいのでこれらを利用すれば、ArgoCD をデプロイ後マニフェストをapplyするだけで Secret を扱う基盤構築ができるかもしれません。

    これらを試してみたらまた記事にしたいと思います