Vault

✎ Vault 

API 을 사용하여 민감정보를 관리하는 시스템.

✱ 민감정보
비밀번호, 토큰, 인증서 등의 암호화 해야하는 어떠한 것들

https://www.vaultproject.io/ 에서 개발함.

 

✎ Vault 사용 이유

프로젝트 내에 보안적인 요소를 고려해야 하는 값(계정 및 패스워드 = 민감정보 등)들을 HTTP API 통신을 이용하여 외부(=git 저장소 등)에 노출시키지 않은 상태로 사용할 수 있기 때문에 보안에 효율적임.

 

 

✎ 간단하게 스프링부트 프로젝트 에서 사용해본 Vault

1. Vault 설치 및 실행 확인

$ brew install vault # vault 설치
$ vault server --dev --dev-root-token-id="00000000-0000-0000-0000-000000000000" # vault 서버 실행

☞ https://www.vaultproject.io/docs/commands/server 에 자세한 설명이 있다.

대충 이렇게 뜸

http://localhost:8200 으로 접속했을 시 나오는 화면

⁉️ 만약 Get "https://127.0.0.1:8200/v1/sys/internal/ui/mounts/secret/application/db": http: server gave HTTP response to HTTPS client 이러한 에러가 발생하였을 경우
↓↓ 아래내용 실행 (터미널)

$ export VAULT_ADDR='http://localhost:8200'

 

2. key/vaule 생성 및 확인

$ vault kv put secret/application username=mungmang password=12345 # key, vaule 생성

Key                Value
---                -----
created_time       2022-01-08T15:46:25.89734Z
custom_metadata    <nil>
deletion_time      n/a
destroyed          false
version            1

$ vault kv get secret/application # path 으로 key, vaule 조회 

======= Metadata =======
Key                Value
---                -----
created_time       2022-01-08T15:46:25.89734Z
custom_metadata    <nil>
deletion_time      n/a
destroyed          false
version            1

====== Data ======
Key         Value
---         -----
password    12345
username    mungmang

☞ https://learn.hashicorp.com/collections/vault/getting-started 에 vault 사용 방법에 대해 자세히 설명해준다.

 

3. SpringBoot project 에 vault 연동여부 적용

// build.gradle 파일에 아래의 정보 추가

ext {
    ...
    set('springCloudVersion', "2021.0.1-SNAPSHOT")
}

dependencies {
	...
	implementation 'org.springframework.cloud:spring-cloud-starter-vault-config'
}
    

dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:${springCloudVersion}"
    }
}

// application.yml에 아래의 내용 추가
spring:
  config:
    import: vault:// 
  cloud:
    vault:
      uri: http://localhost:8200
      token: 00000000-0000-0000-0000-000000000000
      kv:
        backend: secret
        default-context: application #secret 이후의 경로

✱ 참고로 Spring Cloude Vault 3.0 및 Spring Boot 2.4 이상에선 bootstrap.yml, bootstrap.properties 가 더이상 사용되지 않는다고함. 그리고  Spring Boot Config Data 접근방식을 사용하려면 spring: config: import에 Vault 시스템을 바인딩 하기 위한 속성 설정이 필요함. (Spring Boot 의 Config Data API) 
아님, application.yml에 spring:cloud:bootstrap:enabled: true or pom.xml or build.gradle 파일에 spring-cloud-starter-bootstrap import을 하여 bootstrap.yml 을 활성화를 할 수 있음.

☞ https://docs.spring.io/spring-cloud-vault/docs/current/reference/html/#client-side-usage 에 자세한 설명이 있다.

 

// config 패키지 생성후 아래의 클래스 생성 

@Getter
@Configuration
public class VaultData {

    @Value("${username}")
    private String username;

    @Value("${password}")
    private String password;
}

// 확인

@Slf4j
@SpringBootApplication
public class HelloApplication {

    public static void main(String[] args) {

        ConfigurableApplicationContext context = SpringApplication.run(HelloApplication.class, args);

        // vault 테스트 --
        VaultData vaultData = context.getBean(VaultData.class);
        log.info("username:{}", vaultData.getUsername());
        log.info("password:{}", vaultData.getPassword());
    }
}

 

 

 

end ~