[Spring] spring-vault에서 @VaultPropertySource 여러개 사용하면 안되는 이유

안녕하세요, 하마연구소 입니다.

스프링 기반의 어플리케이션을 개발할 때, 환경설정으로 보안정보를 다루기 위하여 Vault를 이용합니다.
일반적으로 가장 간단하게 Vault를 이용하는 방법은 @VaultPropertySource 또는 @VaultPropertySources 어노테이션을 사용하는 것입니다. 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
import org.springframework.context.annotation.Configuration;
import org.springframework.vault.annotation.VaultPropertySource;

@Configuration
@VaultPropertySource(value = {
        "secret/hippolab/wallet1",
        "secret/hippolab/wallet2",
        "secret/hippolab/wallet3",
        "secret/hippolab/wallet4"
})
public class VaultConfig {
}


위 샘플코드에서는 wallet1, wallet2, wallet3, wallet4에 선언된 모든 환경설정은 어플리케이션 로딩시에 스프링 MutablePropertySources에 포함되어 ${vault.properties1}과 같이 쉽게 사용할 수 있습니다.

그러나 어플리케이션을 만들다보면 여러개의 @VaultPropertySource 어노테이션을 서로 다른 파일에 작성해야할 경우가 있습니다.
이럴때는 아래와 같이 VaultConfig1.java와 VaultConfig2.java 파일에 나눠서 코딩하였습니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
import org.springframework.context.annotation.Configuration;
import org.springframework.vault.annotation.VaultPropertySource;

@Configuration
@VaultPropertySource(value = {
        "secret/hippolab/wallet1",
        "secret/hippolab/wallet2",
        "secret/hippolab/wallet3",
        "secret/hippolab/wallet4"
})
public class VaultConfig1 {
}


 1
 2
 3
 4
 5
 6
 7
 8
 9
10
import org.springframework.context.annotation.Configuration;
import org.springframework.vault.annotation.VaultPropertySource;

@Configuration
@VaultPropertySource(value = {
        "secret/hippolab/wallet5",
        "secret/hippolab/wallet6"
})
public class VaultConfig2 {
}


이렇게하고 어플리케이션을 실행하면 wallet1, wallet2, wallet3, wallet4, wallet5, wallet6의 모든 환경설정이 포함되지 않은 것을 확인할 수 있습니다.
VaultConfig1과 VaultConfig2가 처리되는 순서에 따라 다르겠지만, wallet1, wallet2 또는 wallet3, wallet4의 환경설정이 불러지지 않았을 것입니다.

왜 그럴까???

원인은 VaultPropertySourceRegistrar.java 파일안에 있습니다.
참고로 spring-vault-core 버전 1.1.3.RELEASE 로 설명하겠습니다.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
/*
 * Copyright 2016-2018 the original author or authors.
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */
package org.springframework.vault.annotation;

import java.util.Collection;
import java.util.Collections;
import java.util.LinkedHashSet;
import java.util.Map;
import java.util.Set;

import org.springframework.beans.BeansException;
import org.springframework.beans.factory.config.BeanDefinition;
import org.springframework.beans.factory.config.BeanFactoryPostProcessor;
import org.springframework.beans.factory.config.ConfigurableListableBeanFactory;
import org.springframework.beans.factory.support.AbstractBeanDefinition;
import org.springframework.beans.factory.support.BeanDefinitionBuilder;
import org.springframework.beans.factory.support.BeanDefinitionRegistry;
import org.springframework.context.annotation.ImportBeanDefinitionRegistrar;
import org.springframework.core.annotation.AnnotationAttributes;
import org.springframework.core.env.ConfigurableEnvironment;
import org.springframework.core.env.MutablePropertySources;
import org.springframework.core.env.PropertySource;
import org.springframework.core.type.AnnotationMetadata;
import org.springframework.util.Assert;
import org.springframework.util.StringUtils;
import org.springframework.vault.annotation.VaultPropertySource.Renewal;
import org.springframework.vault.core.lease.domain.RequestedSecret;
import org.springframework.vault.core.util.PropertyTransformer;
import org.springframework.vault.core.util.PropertyTransformers;

/**
 * Registrar to register {@link org.springframework.vault.core.env.VaultPropertySource}s
 * based on {@link VaultPropertySource}.
 * <p>
 * This class registers potentially multiple property sources based on different Vault
 * paths. {@link org.springframework.vault.core.env.VaultPropertySource}s are resolved and
 * added to {@link ConfigurableEnvironment} once the bean factory is post-processed. This
 * allows injection of Vault properties and and lookup using the
 * {@link org.springframework.core.env.Environment}.
 *
 * @author Mark Paluch
 */
class VaultPropertySourceRegistrar implements ImportBeanDefinitionRegistrar,
		BeanFactoryPostProcessor {

	@Override
	public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory)
			throws BeansException {

		ConfigurableEnvironment env = beanFactory.getBean(ConfigurableEnvironment.class);
		MutablePropertySources propertySources = env.getPropertySources();

		registerPropertySources(
				beanFactory.getBeansOfType(
						org.springframework.vault.core.env.VaultPropertySource.class)
						.values(), propertySources);

		registerPropertySources(
				beanFactory
						.getBeansOfType(
								org.springframework.vault.core.env.LeaseAwareVaultPropertySource.class)
						.values(), propertySources);
	}

	private void registerPropertySources(
			Collection<? extends PropertySource<?>> propertySources,
			MutablePropertySources mutablePropertySources) {

		for (PropertySource<?> vaultPropertySource : propertySources) {

			if (propertySources.contains(vaultPropertySource.getName())) {
				continue;
			}

			mutablePropertySources.addLast(vaultPropertySource);
		}
	}

	@Override
	public void registerBeanDefinitions(AnnotationMetadata annotationMetadata,
			BeanDefinitionRegistry registry) {

		Assert.notNull(annotationMetadata, "AnnotationMetadata must not be null!");
		Assert.notNull(registry, "BeanDefinitionRegistry must not be null!");

		registry.registerBeanDefinition("VaultPropertySourceRegistrar",
				BeanDefinitionBuilder //
						.rootBeanDefinition(VaultPropertySourceRegistrar.class) //
						.setRole(BeanDefinition.ROLE_INFRASTRUCTURE) //
						.getBeanDefinition());

		Set<AnnotationAttributes> propertySources = attributesForRepeatable(
				annotationMetadata, VaultPropertySources.class.getName(),
				VaultPropertySource.class.getName());

		int counter = 0;

		for (AnnotationAttributes propertySource : propertySources) {

			String[] paths = propertySource.getStringArray("value");
			String ref = propertySource.getString("vaultTemplateRef");
			String propertyNamePrefix = propertySource.getString("propertyNamePrefix");
			Renewal renewal = propertySource.getEnum("renewal");

			Assert.isTrue(paths.length > 0,
					"At least one @VaultPropertySource(value) location is required");

			Assert.hasText(ref,
					"'vaultTemplateRef' in @EnableVaultPropertySource must not be empty");

			PropertyTransformer propertyTransformer = StringUtils
					.hasText(propertyNamePrefix) ? PropertyTransformers
					.propertyNamePrefix(propertyNamePrefix) : PropertyTransformers.noop();

			for (String propertyPath : paths) {

				if (!StringUtils.hasText(propertyPath)) {
					continue;
				}

				AbstractBeanDefinition beanDefinition = createBeanDefinition(ref,
						renewal, propertyTransformer, propertyPath);

				registry.registerBeanDefinition("vaultPropertySource#" + counter,
						beanDefinition);

				counter++;
			}
		}
	}

	private AbstractBeanDefinition createBeanDefinition(String ref, Renewal renewal,
			PropertyTransformer propertyTransformer, String propertyPath) {

		BeanDefinitionBuilder builder;

		if (isRenewable(renewal)) {
			builder = BeanDefinitionBuilder
					.rootBeanDefinition(org.springframework.vault.core.env.LeaseAwareVaultPropertySource.class);

			RequestedSecret requestedSecret = renewal == Renewal.ROTATE ? RequestedSecret
					.rotating(propertyPath) : RequestedSecret.renewable(propertyPath);

			builder.addConstructorArgValue(propertyPath);
			builder.addConstructorArgReference("secretLeaseContainer");
			builder.addConstructorArgValue(requestedSecret);
		}
		else {
			builder = BeanDefinitionBuilder
					.rootBeanDefinition(org.springframework.vault.core.env.VaultPropertySource.class);

			builder.addConstructorArgValue(propertyPath);
			builder.addConstructorArgReference(ref);
			builder.addConstructorArgValue(propertyPath);
		}

		builder.addConstructorArgValue(propertyTransformer);
		builder.setRole(BeanDefinition.ROLE_INFRASTRUCTURE);

		return builder.getBeanDefinition();
	}

	private boolean isRenewable(Renewal renewal) {
		return renewal == Renewal.RENEW || renewal == Renewal.ROTATE;
	}

	@SuppressWarnings("unchecked")
	static Set<AnnotationAttributes> attributesForRepeatable(AnnotationMetadata metadata,
			String containerClassName, String annotationClassName) {

		Set<AnnotationAttributes> result = new LinkedHashSet<AnnotationAttributes>();
		addAttributesIfNotNull(result,
				metadata.getAnnotationAttributes(annotationClassName, false));

		Map<String, Object> container = metadata.getAnnotationAttributes(
				containerClassName, false);
		if (container != null && container.containsKey("value")) {
			for (Map<String, Object> containedAttributes : (Map<String, Object>[]) container
					.get("value")) {
				addAttributesIfNotNull(result, containedAttributes);
			}
		}
		return Collections.unmodifiableSet(result);
	}

	private static void addAttributesIfNotNull(Set<AnnotationAttributes> result,
			Map<String, Object> attributes) {
		if (attributes != null) {
			result.add(AnnotationAttributes.fromMap(attributes));
		}
	}
}


@VaultPropertySource 어노테이션 하나씩마다 VaultPropertySourceRegistrar가 수행되며, registerBeanDefinitions()에 의해서 @VaultPropertySource 어노테이션으로 선언된 wallet들을 하나씩 VaultPropertySource 빈으로 등록됩니다.
이때 여러 파일에 있는 @VaultPropertySource 어노테이션을 한방에 참조하여 한방에 등록되는 것이 아니라, 각각의 @VaultPropertySource 어노테이션별로 VaultPropertySourceRegistrar가 수행됩니다.

1
registry.registerBeanDefinition("vaultPropertySource#" + counter, beanDefinition);


이 부분에서 빈으로 등록되는데 위 샘플 VaultConfig1에 정의된 wallet1, 2, 3, 4는 vaultPropertySource#1, vaultPropertySource#2, vaultPropertySource#3, vaultPropertySource#4 빈으로 등록됩니다.
그후에 다시 VaultPropertySourceRegistrar가 수행되며 VaultConig2에 정의된 wallet5, 6은 vaultPropertySource#1, vaultPropertySource#2 빈으로 등록됩니다.
이렇게되면 VaultConfig1에서 먼저 등록된 vaultPropertySource#1, vaultPropertySource#2는 overwriting 됩니다.
VaultConfig1과 VaultConfig2가 로딩되는 순서 차이는 있겠지만, 어쨌든 우리가 원했던 2개 wallet은 등록되지 않습니다.

그럼 어떻게 하면 될까?

결론은 @VaultPropertySource 어노테이션을 여러개 사용할 수 없다는 것입니다.
하지만 서로 다른 Java 소스파일에 최대한 @VaultPropertySource 어노테이션 처럼 간단하게 Vault 설정하는 방법은 아래와 같습니다. 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
import org.springframework.context.annotation.Configuration;
import org.springframework.vault.annotation.VaultPropertySource;

@Configuration
@VaultPropertySource(value = {
        "secret/hippolab/wallet1",
        "secret/hippolab/wallet2",
        "secret/hippolab/wallet3",
        "secret/hippolab/wallet4"
})
public class VaultConfig3 {
}


 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.vault.core.VaultTemplate;
import org.springframework.vault.core.env.VaultPropertySource;

@Configuration
public class VaultConfig4 {
    @Bean
    public VaultPropertySource wallet5VaultPropertySource(VaultTemplate vaultTemplate) {
        return new org.springframework.vault.core.env.VaultPropertySource(vaultTemplate, "secret/hippolab/wallet5");
    }

    @Bean
    public VaultPropertySource wallet6VaultPropertySource(VaultTemplate vaultTemplate) {
        return new org.springframework.vault.core.env.VaultPropertySource(vaultTemplate, "secret/hippolab/wallet6");
    }
}


여기서는 VaultConfig3.java 기존처럼 @VaultPropertySource 어노테이션을 이용하고, VaultConfig4.java는 원하는 wallet에 해당하는 VaultPropertySource 빈을 직접 생성합니다.
이럴경우에 VaultConig3의 @VaultPropertySource 어노테이션에 의해서 VaultPropertySourceRegistrar가 수행되고 postProcessBeanFactory()와 registerPropertySources()에서 등록된 모든 VaultPropertySource 빈을 찾아서 MutablePropertySources에 추가합니다.
VaultConfig1과 VaultConfig2의 @VaultPropertySource 어노테이션 처럼 overwriting되는 VaultPropertySource 빈이 없습니다.

참고로 아래는 Vault 초기화하는 코드입니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Import;
import org.springframework.vault.annotation.VaultPropertySource;
import org.springframework.vault.config.EnvironmentVaultConfiguration;

/**
 * Vault 초기화
 */
@Configuration
@Import(EnvironmentVaultConfiguration.class)
@VaultPropertySource(value = "")
public class InitializeVaultConfig {
}


값이 빈 @VaultPropertySource 어노테이션을 선언한 이유는 만약 VaultConfig3이 없고 VaultConfig4만 사용할 경우에도 VaultPropertySource 빈 MutablePropertySources에 추가되기 위함입니다.
VaultPropertySourceRegistrar는 @VaultPropertySource 어노테이션에 의해서 수행되기 때문입니다.

감사합니다.
Tags:

댓글

댓글 쓰기

Popular Posts

AI 시대, SEO가 아닌 GEO에 포커싱해야 하는 이유

이미지
안녕하세요, 하마연구소입니다. 정보를 제공하고 수익을 내야하는 기업 웹페이지가 AI 시대를 준비하며 GEO(Generative Engine Optimization) 를 신경써야 한다고 합니다. GEO는 또 뭐야? 최적의 검색엔진 대응을 위하여 과거와 현재 웹페이지는 SEO(Search Engine Optimization) 에 관심을 두고 있습니다. 최적화된 SEO를 제공하면 검색엔진 노출에 많은 도움이 되며, 이것은 트래픽 유입을 증가시키고 그만큼 수익을 늘릴 수 있습니다. 따라서 SEO는 검색엔진에 정보를 효과적으로 제공하는 구조로 되어 있으며, 웹페이지는 사람눈에 맞춰 메뉴, 목차, 본문구조 등을 구성해야 합니다. 하지만 AI 시대에서는 조금 다릅니다. 사용자가 웹페이지에 들어가서 원하는 정보를 얻으며 구매를 하고 또는 광고를 클릭하는 흐름이 아니라, AI와 대화하면서 정보를 얻고 구매도 AI에게 시킵니다. 즉, 사용자는 더이상 웹페이지에 직접 방문하지 않습니다. 따라서 웹페이지에 노출되는 구조가 사람의 눈이 아닌 AI 엔진(에이전트)에 포커싱 되어야 합니다. AI가 활발해지는 앞으로는 기업 웹페이지 입장에서 사용자의 질문으로부터 AI 엔진이 유입되기 때문에 그에 맞춰 Q&A 형태의 정보, 표나 리스트로 명확하게 정리된 정보, 무엇보다 입력된 질의 상황에 맞춰 동적으로 정보를 제공하는 웹페이지가 되어야 합니다. 아직 감이 오지 않습니다. 하지만 분명한 것은 더이상 사람이 직접 웹페이지에 방문하는 빈도수는 줄어들 것입니다. 따라서 미래 웹페이지 기획과 개발은 검색엔진과 사람이 보기 좋은 구성이 아니라, AI를 위한 맞춤 제공할 수 있는 구성이 되어야 합니다. 그리고 트래픽 유입에 따른 디스플레이 광고 수익이 아닌, AI가 상품을 직접 구매 하기 때문에 이 구매율을 높이기 위한 알맞은 정보를 제공하는 서비스에 신경써야할 것입니다. 예상했지만 AI가 많은 것을 바꾸고 새로운 표준을 잡아가...
Read more »

AI 메모리 HBM 외에 HBF도 주목

이미지
안녕하세요, 하마연구소 입니다. AI 관련 하드웨어 중에 GPU가 가장 중요하지만 연산을 위하여 빠른 메모리도 매우 중요합니다. AI 확산으로 고대역폭메모리(HBM, High Bandwidth Memory) 시장이 유래없는 호황을 맞이하고 있습니다. HBM은 휘발성 메모리이기 때문에 GPU가 처리할 데이터를 유지하려면 지속적인 전력이 필요하며, 그에따라 전력량과 발열이 증가하게 됩니다. 따라서 이러한 한계 때문에 더 빠르게 처리해야할 GPU 연산 환경에 한계가 있다는 평가가 나오고 있습니다. 물론 HBM3, HBM3E에 이어 HBM4까지 개발되며 발전하고 있지만, 더 높은 고층으로 쌓기에는 한계가 있기에 더 큰 용량을 확보하지 못하고 있습니다. 이에 고대역폭낸드플래시메모리(HBF, High Bandwidth Flash Memory) 가 주목받고 있습니다. 낸드플래시는 최대 321층 쌓은 제품이 사용화 되어 용량 확대에 유리하고, 무엇보다 데이터 유지를 위하여 지속적인 전력 공급이 없어도 되며 발열량과 전력소모는 HBM 대비하여 낮습니다. 이는 마치 일반 컴퓨터에서 RAM과 SSD의 차이점과 유사합니다. CPU 연산에 필요한 데이터를 빠르게 접근하기 위하여 RAM을 이용하고 대량의 데이터를 임시 또는 영구 저장하기 위하여 SSD를 이용한 것과 비슷하게, GPU의 고속연산에 필요한 데이터를 HBM과 HBF를 혼합해서 사용하는 것입니다. HBM과 HBF 비교 HBF를 표준화하기 위하여 해결해야할 과제가 있습니다. 바로 낸드플래시의 10만번 쓰기 수명을 극복해야 합니다. 매우 빠르게 처리되는 AI 연산에서 하드웨어의 수명을 늘리는 것은 비용문제를 해결할 수 있는 핵심 과제입니다. 이에 SK하이닉스는 전통적인 낸드플래시 메모리 강자인 샌디스크와 양해각서(MOU)를 체결하여 전략적인 행보를 취하고 있습니다. SSD가 RAM을 대신하지 못하는 것처럼, HBF가 HBM을 대체하지는 않을 것입니다. 어쩌면 HBM의 성능이 더 좋아지고 단점이 줄어든다면 지금처럼 HBM만 사용...
Read more »

네이버 쇼핑 잘 나가네요, 구팡이 절대 강자인줄~

이미지
안녕하세요, 하마연구소 입니다. 예전에는 쇼핑하려면 다나와 가서 가격비교하여 11번가, 옥션, G마켓 등 가장 저렴한 쇼핑몰에서 구매하였는데, 요즘은 습관처럼 쿠팡 에서 검색하여 바로 구매합니다. 가장 큰 이유는 빠른 배송이죠. 오후 늦게 내지 밤에 주문해도 다음날 새벽에 도착한 택배! 이 맛을 끊을 수 없습니다. 또한 네이버 쇼핑 도 종종 이용합니다. 쿠팡만큼 빠른 배송은 아니지만 꽤 많은 물건이 등록되어 있는 스마트스토어, 무엇보다 꽤 많이 쌓이는 포인트가 장점이죠. 이는 필자뿐만 아니라 대한민국 국민 대부분에 해당할 것으로 예상됩니다. 2026년 3분기 네이버 쇼핑 순이익이 7347억 원이라고 합니다. 이는 쿠팡이 포함된 7대 유통사보다 11.5% 높은 순이익입니다. 쿠팡이 매출 12조 8455억 원에 영업이익 2245억 원 정도인데, 네이버 쇼핑은 매출 9855억 원에 영업이익은 5706억 원이고 순익익이 7347억 원입니다. 매출은 쿠팡이 훨씬 많은데, 남는 돈은 네이버 쇼핑이 훨씬 잘 버네~~~ 아마도 쿠팡은 물류, 배송까지 직접 챙기다 보니 아직 물리적인 인프라 비용에 많은 비용이 필요한 가봅니다. 반면에 네이버 쇼핑은 CJ대한통운 및 마켓컬리 등과 손잡아 물류센터를 직접 관리하지 않습니다. 네이버는 태생이 검색회사인데, 이러다 쇼핑 회사 되겠네~~~ 참고 https://v.daum.net/v/20251114160305059 "네이버 쇼핑이 이 정도야?”…‘한국 7대 유통사’ 다 합쳐도 네이버 못 넘어
Read more »