이 문서는 2021년 11월에 출시된 AWS용 GKE의 현재 버전을 대상으로 합니다. 자세한 정보는 출시 노트를 참조하세요.

비공개 이미지 레지스트리 사용

AWS용 GKE 설치는 기본적으로 공개 이미지에 액세스할 수 있습니다. 이 주제에서는 Artifact Registry와 같은 비공개 컨테이너 이미지 저장소와 함께 AWS용 GKE를 사용하는 방법을 설명합니다.

AWS용 GKE는 버전 1.28부터 Kubernetes 보안 비밀을 사용할 필요 없이 Artifact Registry 또는 Container Registry에서 비공개 이미지를 가져오는 방법을 제공합니다. 자세한 내용은 보안 비밀 없이 비공개 이미지 레지스트리 사용을 참조하세요.

시작하기 전에

이 페이지의 단계를 수행하려면 먼저 다음을 완료합니다.

클러스터 만들기
노드 풀 만들기
kubectl의 클러스터 액세스 구성
Docker 이미지를 빌드하고 Artifact Registry에 푸시합니다. 이 페이지의 예시에서는 hello-app 컨테이너를 사용합니다. 이 컨테이너를 빌드하려면 다음 단계를 수행하여 Google Cloud 기반 GKE 문서의 일부로 컨테이너 이미지를 빌드하고 Artifact Registry로 Docker 이미지를 내보냅니다.

Artifact Registry에서 이미지 확인

이 단계의 나머지 부분을 완료하려면 컨테이너 이미지가 필요합니다. 다음 단계를 수행하여 컨테이너 이미지 이름을 가져옵니다.

Google Cloud SDK를 사용하여 Artifact Registry에 인증하도록 Docker 명령줄 도구를 구성합니다.
```
gcloud auth configure-docker
```
gcloud 명령줄 도구는 모든 Google 지원 Docker 레지스트리에 사용자 인증 정보 도우미를 등록합니다.
docker images 명령어를 사용하여 Artifact Registry에 이미지가 포함되어 있는지 확인합니다.
```
docker images
```
Docker는 Artifact Registry에 연결되고 저장소에서 사용할 수 있는 이미지를 반환합니다. 예를 들어 다음 응답에서는 us-west1-docker.pkg.dev의 PROJECT_NAME 저장소에 있는 hello-app이라는 컨테이너 이미지를 보여줍니다.
```
REPOSITORY                                                            TAG          IMAGE ID       CREATED          SIZE
us-west1-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app   v1           f7cfe0d58569   21 minutes ago   11.5MB
```

아직 컨테이너 이미지가 준비되어 있지 않으면 컨테이너화된 애플리케이션 배포의 단계를 수행하여 컨테이너 이미지를 만듭니다.

서비스 계정 만들기

클러스터는 Identity and Access Management(IAM) 서비스 계정을 사용하여 인증합니다.

새 서비스 계정을 만들려면 다음 단계를 따릅니다.

Google Cloud CLI를 사용하여 IAM 서비스 계정을 만듭니다.
```
gcloud iam service-accounts create ACCOUNT_NAME
```
ACCOUNT_NAME을 새 Google Cloud 서비스 계정 이름으로 바꿉니다.
서비스 계정에 Artifact Registry 권한을 부여합니다.
```
gcloud projects add-iam-policy-binding PROJECT_NAME \
  --member serviceAccount:ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com \
  --role roles/artifactregistry.reader
```
다음을 바꿉니다.
- PROJECT_NAME를 Google Cloud 프로젝트로 바꿉니다.
- ACCOUNT_NAME을 Google Cloud 서비스 계정 이름으로 바꿉니다.
계정의 서비스 계정 키를 다운로드합니다.
```
gcloud iam service-accounts keys create registry-access-key.json \
  --iam-account ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com
```
다음을 바꿉니다.
- PROJECT_NAME
- ACCOUNT_NAME
참고: 서비스 계정 키는 권한이 있는 리소스에 대한 액세스를 허용합니다. 키 파일을 다운로드한 후 보호하세요.

이제 Artifact Registry에 연결하도록 사용자 클러스터를 구성할 준비가 되었습니다.

클러스터에 키 저장

Artifact Registry에 인증하도록 키를 제공하려면 다음 단계를 수행하여 서비스 계정 키를 Kubernetes 보안 비밀로 저장합니다.

kubectl을 사용하여 보안 비밀을 만듭니다.

  kubectl create secret docker-registry registry-secret \
  --docker-server=LOCATION-docker.pkg.dev \
  --docker-username=_json_key \
  --docker-email=ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com \
  --docker-password="$(cat registry-access-key.json)"

다음을 바꿉니다.

LOCATION: 저장소의 리전 또는 멀티 리전 위치입니다.
PROJECT_NAME
ACCOUNT_NAME

서비스 계정 키의 로컬 복사본을 삭제합니다.
```
rm registry-access-key.json
```

이제 워크로드에서 이 보안 비밀을 참조할 수 있습니다.

비공개 이미지로 워크로드 만들기

워크로드에 비공개 컨테이너 저장소의 이미지를 사용하려면 spec.imagePullSecrets 필드를 보안 비밀 이름으로 설정합니다. 이 필드는 포드 및 배포에서 서로 위치가 다릅니다.

포드 만들기

Container Registry에 액세스할 수 있는 포드를 만들려면 spec.imagePullSecrets 필드를 보안 비밀 이름으로 설정합니다.

spec.imagePullSecrets를 지정하는 포드를 만듭니다.

apiVersion: v1
kind: Pod
metadata:
  name: POD_NAME
spec:
  containers:
  - name: CONTAINER_NAME
    image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1
  imagePullSecrets:
  - name: registry-secret

다음을 바꿉니다.

POD_NAME: 포드의 이름
CONTAINER_NAME: 포드 내부의 컨테이너 이름
LOCATION
PROJECT_NAME

예를 들어 hello-app 이미지를 가져오려면 다음 YAML을 hello-pod.yaml 파일에 복사합니다.

apiVersion: v1
kind: Pod
metadata:
  name: hello-pod
spec:
  containers:
  - name: hello-container
    image: us-west1-docker.pkg.dev/example-project/hello-repo/hello-app:v1
  imagePullSecrets:
  - name: registry-secret

kubectl을 사용하여 구성을 클러스터에 적용합니다.
```
kubectl apply -f hello-pod.yaml
```
kubectl get를 사용하여 pod가 실행되고 있는지 확인합니다.
```
kubectl get pod/hello-pod
```
응답에 Running 상태의 pod 한 개가 포함됩니다.
```
NAME        READY   STATUS    RESTARTS   AGE
hello-pod   1/1     Running   0          15s
```

배포 만들기

배포에서 비공개 저장소를 사용하려면 템플릿 내에 imagePullSecret을 지정합니다.

예를 들어 hello-app 이미지를 사용하는 배포를 구성하려면 다음 콘텐츠가 포함된 hello-deployment.yaml이라는 파일을 만듭니다.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: hello-app-deployment
spec:
  selector:
    matchLabels:
      app: products
      department: sales
  replicas: 3
  template:
    metadata:
      labels:
        app: products
        department: sales
    spec:
      containers:
      - name: hello
        image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1
        env:
        - name: "PORT"
          value: "50001"
      imagePullSecrets:
      - name: registry-secret

다음을 바꿉니다.

LOCATION
PROJECT_NAME

kubectl을 사용하여 구성을 클러스터에 적용합니다.
```
kubectl apply -f hello-deployment.yaml
```

kubectl pods를 사용하여 배포가 실행 중인지 확인합니다.

kubectl get pods --selector=app=products

출력에 3개의 Running 포드가 표시됩니다.

NAME                                    READY   STATUS    RESTARTS   AGE
hello-app-deployment-67d9c6d98c-b69f2   1/1     Running   0          14m
hello-app-deployment-67d9c6d98c-d6k5c   1/1     Running   0          14m
hello-app-deployment-67d9c6d98c-p2md5   1/1     Running   0          14m

삭제

이 페이지에서 만든 리소스를 삭제하려면 다음 명령어를 실행합니다.

kubectl apply -f hello-pod.yaml
kubectl delete -f hello-deployment.yaml

다음 단계

Artifact Registry 개요 읽어보기