[Spring Cloud] Spring Cloud Config Server 설정값을 Private Repository 에서 가져오기

저번 포스팅에선 임시로 Public Repository를 사용했지만, 중요한 파일이 들어있는 레포지토리는 당연히 private으로 설정되어 있을 것이다.

 

그럼 이번 포스팅에선, Config Server에서 private repository로부터 설정 파일을 가져올 수 있도록 세팅하는 방법을 알아보도록 하겠다.

 

1. 비대칭 키 생성

 

맥에서는 ssh 비대칭 키를 만들 수 있는 기능을 제공한다.

$  ssh-keygen -m PEM -t rsa -b 4096 -C {깃허브 계정}

 

저장할 위치와 비밀번호(passphrase)를 설정하고 만들어주자.

 

2. Deploy Key 등록

 

만들어 주면, .pub 의 Public key를 볼 수 있는데 

 

이를 가져오려는 Private repository에 Deploy Key로 등록해주자.

 

 

생성한 키를 cat 명령어로 보고, 키로 등록해주자.

 

$ cat ~/.ssh/id_rsa.pub

 

3. yml 설정

config server에 다음과 같이 yml 설정을 해주자.

spring:
  cloud:
    config:
      server:
        git:
          uri: {깃허브 주소}
          ignore-local-ssh-settings: true
          passphrase: {passphrase}
          private-key: |
            -----BEGIN RSA PRIVATE KEY-----
            Proc-Type: 4,ENCRYPTED
            DEK-Info: AES-128-CBC,660C2ED7C6F0A4A92AC04CCA7E052C79
              
            ~생략~
            -----END RSA PRIVATE KEY-----

 

- uri는 깃허브 레포에서 가져올 수 있다.

- passphrase엔 키를 생성할 때 넣었던 값을 넣어주자.

- private-key는 

$ cat ~/.ssh/id_rsa

에서 나온 private key를 넣자.

 

 

 

이제 정상적으로 가져오는지 확인해보자.

 

 

잘 가져오는 것 같다.

 

인증에 실패하면, no authorize 이라고 나오는 것 같다.

 

 

4. private key 암호화(미결)

 

그런데, 여기서 문제가 있다.

 

Config Server 에 들어가는 비대칭 키 값은 깃허브에 그대로 올라가게 된다.

 

이 비대칭 키 값이 있다면 누구든지 내 private repository에 접근할 수 있는 것이다.

 

따라서, yml에 있는 이 private 키 값을 암호화 해야한다.

 

이 방법에 관한 자료는 많이 없어서 찾지 못했다 🥹

 

그나마 찾은 방법은 Spring Cloud에서 제공하는 대칭 키 암호화 방법을 사용하는게 맞지 않을까..?

 

1. 키 스토어 생성

$ keytool -genkeypair -alias privateKey -keyalg RSA -dname "CN=Web Server, OU=Unit, O=Organization, L=Seoul, C=KR" -keypass "password" -keystore privateKey.jks -storepass "password"

 

2. 인증서 추출

$ keytool -export -alias privateKey -keystore privateKey.jks -rfc -file trustServer.cer

 

3. public key 생성

$ keytool -import -alias trustServer -file trustServer.cer -keystore publicKey.jks

 

 

이렇게 하면, privateKey.jks, publicKey.jks, trust.cer 세 파일이 생긴다.

 

이제, Spring Cloud Config에 키를 설정해 두고,

encrypt:
  key-store: # 비대칭 키 사용
    location: file:///Users/kimdonghyun/.ssh/jks/privateKey.jks #private key의 위치
    password: password
    alias: privateKey

private key 값을 encrypt 하여

 

cipher 형태로 넣는 방법도 있겠지만.. private key를 위해서 한번 더 대칭 키를 만들고 복호화 ..? 

 

뭔가 비효율적인 방법인 것 같다. 과연 현업에선 어떻게 하는걸까 .. 

 

만약 내가 실제 개발하는 상황이라면, 로컬에서는 private key값이 들어있는 yml을 올리지 않고,

 

실제 배포 환경에서는 Github Action + Secret 을 통해서 Private key를 주입할 것 같다.