36 lines
1.5 KiB
Markdown
36 lines
1.5 KiB
Markdown
---
|
|
title: Vault 시크릿 관리
|
|
updated: 2026-03-12
|
|
---
|
|
|
|
## K3s 배포
|
|
|
|
HashiCorp Vault v1.21.2, K3s에 HA Raft 3노드로 배포 (Helm chart hashicorp/vault 0.32.0). namespace: vault. 스토리지: Longhorn 10Gi PVC. Unseal key 5개 (threshold 3), 키 파일: ~/vault-keys.json
|
|
|
|
## 접근
|
|
|
|
- UI/API: https://hcv.inouter.com
|
|
- 트래픽 흐름: BunnyCDN (pull zone: inouter, ID 5316471) → SafeLine WAF → [[apisix]] (라우트 hcv-inouter-com) → K3s Traefik (192.168.9.134/140/214:443) → vault-active:8200
|
|
- K3s Ingress: vault-ui (class traefik, TLS wildcard-inouter-com-tls)
|
|
- APISIX upstream: hcv-inouter-com (roundrobin, 3노드 443)
|
|
|
|
## Root Token
|
|
|
|
Vault root token은 만료 없음 (TTL: 0s)
|
|
|
|
## 접근 정책
|
|
|
|
접근 정책: infra-read(읽기 전용), infra-admin(읽기/쓰기)
|
|
|
|
## NocoDB
|
|
|
|
NocoDB API 토큰: Vault secret/nocodb/api-token (필드: token, url, user)
|
|
|
|
## MCP 서버
|
|
|
|
vault-mcp-server v0.2.0 (hashicorp/vault-mcp-server:0.2.0 Docker 이미지). K3s vault namespace에 Deployment로 배포. streamable-http 모드, 엔드포인트: https://hcv.inouter.com/mcp. 내부 통신: vault-active.vault.svc.cluster.local:8200. token은 Secret vault-mcp-token에 저장. Claude Code MCP 설정: type http, url https://hcv.inouter.com/mcp. K3s Ingress vault-mcp가 /mcp 경로를 vault-mcp-server Service(8080)로 라우팅. 로컬 바이너리도 /usr/local/bin/vault-mcp-server에 설치됨.
|
|
|
|
## 관련 서비스
|
|
|
|
[[cert-manager]], [[gitea]], [[irondesk]] 등에서 Vault 시크릿을 참조
|