JBoss EAP 6.4 도메인 모드에서 Vault를 이용한 데이터소스 비밀번호 암호화

JBoss EAP 6.4 도메인 모드에서 데이터소스 비밀번호를 암호화하는 방법을 정리했습니다. Vault 기능을 사용하여 데이터소스 비밀번호를 보호하고, 도메인 모드 환경에서 이를 적용하는 방법을 단계별로 설명합니다.

1. Vault 환경 준비 및 Keystore 생성

먼저 암호화를 위한 Keystore를 생성합니다.

keytool -genkey -alias vault -keyalg DESede -keystore vault.keystore

위 명령을 실행하면 비밀번호 입력 및 인증서 정보를 입력해야 합니다.

2. Vault 생성 및 설정

JBoss EAP에서 제공하는 Vault 스크립트를 실행하여 암호화 블록을 생성합니다.

$JBOSS_HOME/bin/vault.sh --keystore vault.keystore --keystore-password [비밀번호] --alias vault --iteration 120 --salt 1234abcd --enc-dir /path/to/vault/

3. host.xml에 Vault 설정 추가

각 호스트(`server1`, `server2`)의 host.xml 파일에 Vault 설정을 추가합니다.

<vault>
    <vault-option name="KEYSTORE_URL" value="/path/to/vault.keystore"/>
    <vault-option name="KEYSTORE_PASSWORD" value="keystore_비밀번호"/>
    <vault-option name="KEYSTORE_ALIAS" value="vault"/>
    <vault-option name="SALT" value="1234abcd"/>
    <vault-option name="ITERATION_COUNT" value="120"/>
    <vault-option name="ENC_FILE_DIR" value="/path/to/vault/" />
</vault>

4. domain.xml에서 데이터소스 비밀번호 설정

domain.xml의 데이터소스 설정에서 비밀번호를 Vault 표현식으로 변경합니다.

<password>${VAULT::ds_vault::db_password}</password>

5. 서버 재시작 및 검증

Vault 설정을 적용한 후, 서버를 재시작하여 정상적으로 동작하는지 확인합니다.

📌 Vault 적용 시 서버 이중화 환경에서 설정 방법

서버가 이중화된 경우(`server1: 도메인 컨트롤러`, `server2: 호스트`) Vault 설정 적용 방법은 두 가지가 있습니다.

✅ 방법 1: 개별 서버에서 순차 적용 (무중단 배포)

1. server2를 먼저 중지
2. server2의 host.xml에 Vault 설정 추가 후 재기동
3. server1 (도메인 컨트롤러) 중지
4. server1의 host.xml에 Vault 설정 추가 후 재기동
5. domain.xml에 Vault 표현식 적용 후 도메인 컨트롤러 재기동

💡 이 방법은 서비스 중단 없이 Vault를 적용할 수 있습니다.

✅ 방법 2: 전체 서버 중지 후 반영 (안정성 우선)

1. 모든 서버 중지
2. server1, server2의 host.xml에 Vault 설정 추가
3. domain.xml에 Vault 표현식 반영
4. 전체 서버 재기동

💡 이 방법은 적용 과정에서 오류 없이 설정이 일관되게 반영됩니다.

결론

Vault를 활용하여 JBoss EAP 6.4 도메인 모드에서 보안성을 강화할 수 있습니다.

• 도메인 모드에서는 host.xml에 Vault 설정을 각각 적용
• domain.xml에는 Vault 표현식만 반영
• 운영 환경에 따라 순차 적용(무중단) 또는 전체 서버 중지 후 반영(안정성 우선)을 선택

설정을 올바르게 적용하면, 데이터소스 비밀번호를 평문으로 저장하는 보안 문제를 해결할 수 있습니다. 이 설정을 통해 더욱 안전한 JBoss EAP 환경을 구축하세요!