이 문서에서는 Artifact Registry 원격 저장소의 Docker Hub 업스트림 저장소에 대한 인증을 구성하는 방법을 설명합니다.
인증되지 않은 Docker Hub 할당량을 사용하지 않도록 하려면 원격 저장소를 사용할 때 Docker Hub에 인증하는 것이 좋습니다. 원격 저장소를 사용하면 Docker Hub 사용자 이름과 보안 비밀로 저장된 개인 액세스 토큰을 추가하여 Docker Hub에 인증할 수 있습니다.
이 문서에서는 Artifact Registry Docker 원격 저장소 및 Docker Hub 계정을 이미 만들었다고 가정합니다.
원격 저장소에 대한 자세한 내용은 원격 저장소 개요를 참조하세요.
시작하기 전에
-
Google 계정에 로그인합니다.
아직 계정이 없으면 새 계정을 등록하세요.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
API Artifact Registry, Secret Manager 사용 설정
- Google Cloud CLI를 설치합니다.
-
gcloud CLI를 초기화하려면 다음 명령어를 실행합니다.
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
API Artifact Registry, Secret Manager 사용 설정
- Google Cloud CLI를 설치합니다.
-
gcloud CLI를 초기화하려면 다음 명령어를 실행합니다.
gcloud init
필요한 역할
원격 저장소의 Docker Hub에 대한 인증을 구성하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청합니다.
-
Artifact Registry 관리자(
roles/artifactregistry.admin
) -
Secret Manager 관리자(
roles/secretmanager.admin
)
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
Docker Hub 개인 액세스 토큰 만들기
- Docker Hub에 로그인합니다.
- 읽기 전용 권한이 있는 개인 액세스 토큰을 만듭니다.
액세스 토큰을 복사합니다.
로컬 또는 Cloud Shell에서 텍스트 파일에 액세스 토큰을 저장합니다.
보안 비밀 버전에 개인 액세스 토큰 저장
- Secret Manager에서 보안 비밀을 만듭니다.
- Docker Hub 개인 액세스 토큰을 보안 비밀 버전으로 저장합니다.
Artifact Registry 서비스 계정에 보안 비밀에 대한 액세스 권한 부여
Artifact Registry 서비스 에이전트는 Google Cloud 서비스와 상호작용할 때 Artifact Registry를 대신하여 동작하는 Google 관리형 서비스 계정입니다. 서비스 에이전트에 Secret Manager에 저장된 보안 비밀을 사용하도록 허용하려면 보안 비밀 버전을 볼 수 있는 권한을 부여해야 합니다.
서비스 에이전트 식별자는 다음과 같습니다.
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER는 Artifact Registry를 실행 중인 Google Cloud 프로젝트의 프로젝트 번호입니다.
Artifact Registry 서비스 에이전트에 Secret Manager 보안 비밀 접근자 역할을 부여하려면 다음 안내를 따르세요.
콘솔
-
Google Cloud 콘솔에서 Secret Manager 페이지로 이동합니다.
-
Secret Manager 페이지에서 보안 비밀 이름 옆에 있는 체크박스를 클릭합니다.
-
아직 열려 있지 않으면 정보 패널 표시를 클릭하여 패널을 엽니다.
-
정보 패널에서 주 구성원 추가를 클릭합니다.
-
새 주 구성원 텍스트 영역에 추가할 구성원의 이메일 주소를 입력합니다.
-
역할 선택 드롭다운에서 Secret Manager를 선택한 후 Secret Manager 보안 비밀 접근자를 선택합니다.
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
여기서 member는 사용자, 그룹 또는 서비스 계정과 같은 IAM 구성원입니다.
C#
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Go
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Java
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Node.js
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
PHP
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Python
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Ruby
Artifact Registry에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
API
참고: 다른 예시와 달리 이는 전체 IAM 정책을 대체합니다.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
보안 비밀에 대한 액세스 권한 부여 또는 취소에 대한 자세한 내용은 보안 비밀에 대한 액세스 관리를 참조하세요.
원격 저장소에 Docker Hub 사용자 인증 정보 추가
Docker Hub 사용자 인증 정보를 사용하여 원격 저장소를 업데이트하려면 다음 안내를 따르세요.
콘솔
Google Cloud 콘솔에서 저장소 페이지를 엽니다.
저장소 목록에서 저장소를 선택하고 저장소 수정을 클릭합니다.
원격 저장소 인증 모드 섹션에서 Docker Hub 액세스 토큰이 포함된 Docker Hub 사용자 이름과 보안 비밀을 업데이트하거나 추가합니다.
gcloud CLI
Docker Hub 사용자 인증 정보를 사용하여 원격 저장소를 업데이트하려면 다음 명령어를 실행합니다.
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USERNAME \
--remote-password-secret-version=projects/PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
다음을 바꿉니다.
REPOSITORY
를 Artifact Registry 원격 저장소의 이름으로 바꿉니다.PROJECT_ID
를 Google Cloud 프로젝트 ID로 바꿉니다.LOCATION
을 저장소의 리전 또는 멀티 리전 위치로 바꿉니다. 기본값을 설정하는 경우 이 플래그를 생략할 수 있습니다. 지원되는 저장소 위치 목록을 보려면gcloud artifacts locations list
명령어를 실행합니다.USERNAME
을 Docker Hub 사용자 이름으로 바꿉니다.SECRET_ID
를 보안 비밀에 지정한 이름으로 바꿉니다.SECRET_VERSION
을 Docker Hub 액세스 토큰을 저장한 보안 비밀 버전으로 바꿉니다.
다음 단계
- Artifact Registry 저장소에 대해 자세히 알아보세요.
- Docker로 이미지를 가져오세요.
- Docker Hub 원격 저장소 빠른 시작을 수행하세요.