Prometheus 대시보드의 API 호출 수와 월말 청구서 금액이 맞지 않는다면, 문제는 "측정이 부족해서"가 아니라 측정의 목적을 섞었기 때문일 수 있습니다.

엔지니어는 "지금 시스템이 괜찮은가"를 보고, 재무 담당자는 "얼마를 받을 수 있는가"를 봅니다. 둘 다 시계열 데이터를 수집하지만, 요구되는 정확도·보존 기간·감사 가능성은 완전히 다릅니다. 같은 숫자처럼 보여도, 신뢰할 수 있는 대상이 다릅니다.

본 문서는 시크릿을 어디에 두고 어떻게 생명주기를 관리할지에 대한 개념과 설계 관점을 다룹니다. Vault 버전별 설치·튜닝·API 세부는 HashiCorp Vault 공식 문서를 우선합니다.

현대 애플리케이션은 API 키, 데이터베이스 비밀번호, TLS 인증서, 클라우드 자격 증명 등 상호 연결을 위해서 비밀 값(secret) 에 의존합니다. 이를 개발 단계에서 애플리케이션 코드나 빌드되는 이미지에 하드코딩 방식은 배포가 빠르지만, 유출 시 피해가 크고 회전(rotation)·감사(audit)가 어렵습니다. Secret Management는 이런 비밀을 중앙에서 안전하게 저장하고, 접근을 통제하며, 필요할 때만 짧게 나눠 주는 행위를 가리킵니다.

마이크로서비스, 컨테이너 오케스트레이션, 클라우드 등 동적·이기종 환경에서는 IP·호스트명만으로는 “어떤 워크로드가 요청하는지”를 일관되게 식별하기 어렵습니다. SPIFFE(Secure Production Identity Framework for Everyone)는 이런 환경에서 소프트웨어 워크로드에 암호학적으로 검증 가능한 신원을 부여하기 위한 오픈 표준입니다.

SPIFFE의 핵심: SPIFFE ID와 SVID

개념 문서: HashiCorp Vault — SPIFFE auth method
HTTP API: SPIFFE auth method (API)

서비스 및 파드용 DNS 참고

svc.cluster.local은 쿠버네티스 클러스터 내부에서 서비스(Service) 간 통신을 위해 사용하는 기본 도메인 접미사(Internal Cluster Domain)입니다. CoreDNS에 의해 관리되며, 서비스명과 네임스페이스를 조합하여 <서비스명>.<네임스페이스>.svc.cluster.local 형태의 고유한 내부 FQDN(Fully Qualified Domain Name)을 제공하여 파드 간 통신을 용이하게 합니다.

참고 URL : https://developer.hashicorp.com/vault/tutorials/vault-agent/agent-env-vars

Vault Agent Template vs Environemnt based execution

문서가 인터넷상에 공개되는 목적은 접근성을 극대화 하기 위함 입니다. 또한 로컬환경에서 빠르게 문서를 검색하기 위해 해당 git repo를 clone 받거나 download 받아서 별도의 마크다운 툴과 연동하는 것도 가능합니다. VuePress 기반으로 구성되었기 때문에 이외의 방식은 문서 표기에 제약이 있을 수 있습니다.

github page

docmoa의 공개된 페이지를 통해 문서를 읽을 수 있습니다.

문서를 올바르게 작성하고 공유하기 위한 몇가지 사항을 안내합니다.

활용 가이드

docmoa를 활용할 수 있는 몇가지 가이드를 docmoa 활용 가이드 에서 설명합니다.

Recent pages

• {{ page.title }} [ {{ (new Date(page.frontmatter.date)).toLocaleString() }} ]

Recent pages

• {{ page.title }} [ {{ (new Date(page.frontmatter.date)).toLocaleString() }} ]