비공개 컨테이너 레지스트리 구성

이 페이지에서는 VMware용 Google Distributed Cloud(소프트웨어 전용)에 기존 컨테이너 레지스트리 서버를 구성하는 방법을 설명합니다.

이 페이지는 기술 인프라를 설정, 모니터링, 관리하는 관리자, 설계자, 운영자를 대상으로 합니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할 및 예시 태스크에 대해 자세히 알아보려면 일반 GKE 사용자 역할 및 태스크를 참조하세요.

개요

기본적으로 클러스터를 만들거나 업그레이드하는 중에 Google Distributed Cloud는 구성요소 액세스 서비스 계정을 사용하여 gcr.io/gke-on-prem-release에서 시스템 이미지를 가져옵니다. 원하는 경우 자체 컨테이너 레지스트리 서버를 제공하여 대신 비공개 레지스트리 서버에서 시스템 이미지를 가져오도록 할 수 있습니다.

Google Distributed Cloud는 안전하지 않은 컨테이너 레지스트리를 지원하지 않습니다. 컨테이너 레지스트리 서버를 시작할 때 인증서와 키를 제공해야 합니다. 인증서는 공개 인증 기관(CA)에서 서명하거나 자체 서명할 수 있습니다.

컨테이너 레지스트리 서버 만들기

컨테이너 레지스트리 서버를 만드는 방법은 Docker 문서의 외부에서 액세스할 수 있는 레지스트리 실행을 참조하세요.

레지스트리 구성

비공개 Container Registry를 사용하려면 gkectl 명령줄 도구 또는 Terraform을 사용하면 됩니다.

고급 클러스터 및 전체 번들 제한사항

Google Distributed Cloud 번들은 전체 버전과 일반 버전 등 2가지 버전으로 제공됩니다. 관리자 워크스테이션에 있는 번들을 확인하려면 관리자 클러스터 구성 파일에서 bundlePath 필드를 확인합니다. 파일 이름이 -full로 끝나면 전체 번들이 관리자 워크스테이션에 있는 것입니다. 파일 이름이 -full로 끝나지 않으면 일반 번들이 관리자 워크스테이션에 있는 것입니다.

gkeadm 명령어를 사용하여 관리자 워크스테이션을 만든 경우 이 명령어는 전체 번들이 포함된 관리자 워크스테이션 VM을 만들고 관리자 클러스터 구성 파일에서 bundlePath 필드를 구성합니다.

고급 클러스터가 사용 설정된 경우 비공개 레지스트리에서 전체 번들을 사용하면 다음과 같은 제한사항이 적용됩니다.

• 버전 1.31: 비공개 레지스트리에서는 전체 번들이 지원되지 않습니다. 고급 클러스터에서 비공개 레지스트리를 사용하려면 다음 안내를 따르세요.

  1. 일반 크기 번들을 관리자 워크스테이션으로 다운로드합니다.
  2. 관리자 클러스터 구성 파일의 bundlePath 필드에서 파일 이름을 업데이트합니다.

• 버전 1.32: 전체 번들을 사용할 수 있지만 gkectl prepare 명령어는 tar 파일 대신 gcr.io/gke-on-prem-release에서 이미지를 가져옵니다. 그러나 이 명령어는 클러스터를 만들거나 업그레이드하는 중에 비공개 레지스트리에서 시스템 이미지를 가져오도록 이미지를 비공개 레지스트리에 내보냅니다.

일반 클러스터와 고급 클러스터의 차이점

고급 클러스터는 표준 클러스터와 비교해 다음과 같은 몇 가지 주요 차이점이 있습니다.

• 비공개 레지스트리를 사용하면 이미지가 비공개 레지스트리의 호스트 이름이 아닌 gcr.io에서 가져오는 것으로 표시됩니다. 이미지는 실제로 비공개 레지스트리 서버에서 가져오지만 이 변경사항은 예상됩니다.
• 이미지 가져오기는 클러스터 내부의 private-registry-creds 보안 비밀이 아닌 비공개 레지스트리에 연결된 각 머신의 /etc/containerd/config.toml 파일에서 사용자 인증 정보를 사용합니다.
• 모든 gcr.io 이미지의 경우 클러스터는 먼저 비공개 레지스트리에서 가져오려고 시도합니다. 이미지가 비공개 레지스트리에 없으면 시스템은 인터넷을 통해 gcr.io에서 이미지를 가져옵니다. 이 대체를 중지하려면 noProxy을 설정하거나 방화벽 규칙을 사용하여 gcr.io 트래픽을 차단하세요.

이미지가 올바른 소스에서 가져오는지 확인하려면 레지스트리 서버에서 이미지를 가져왔는지 확인을 참고하세요.

레지스트리 서버에서 이미지를 가져왔는지 확인

이미지를 레지스트리 서버에서 가져오는지 확인하는 방법은 고급 클러스터 사용 설정 여부에 따라 다릅니다.

• 고급 클러스터가 사용 설정되어 있지 않으면 다음 명령어를 실행합니다.

  kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get pods \
      --all-namespaces -o jsonpath="{.items[*].spec['initContainers', 'containers'][*].image}"
  

  ADMIN_CLUSTER_KUBECONFIG를 관리자 클러스터의 kubeconfig 파일 경로로 바꿉니다.

  이 명령어 출력에는 클러스터의 모든 이미지가 표시됩니다. 모든 Google Distributed Cloud 이미지를 자체 레지스트리 서버에서 가져온 것인지 확인할 수 있습니다.

• 고급 클러스터가 사용 설정된 경우 다음 단계를 수행합니다.

  다음 단계를 수행하여 config.toml 파일 콘텐츠를 검사하여 containerd가 로컬 레지스트리에서 이미지를 가져오는지 여부를 확인할 수 있습니다.

  1. 노드에 로그인하고 /etc/containerd/config.toml 파일 콘텐츠를 검사합니다.

  2. config.toml 파일의 plugins."io.containerd.grpc.v1.cri".registry.mirrors 필드를 검사하여 레지스트리 서버가 endpoint 필드에 표시되어 있는지 확인합니다.

     다음은 config.toml 파일 예시에서 발췌한 부분입니다.

     version = 2
     root = "/var/lib/containerd"
     state = "/run/containerd"
     ...
     [plugins."io.containerd.grpc.v1.cri".registry]
     [plugins."io.containerd.grpc.v1.cri".registry.configs]
     [plugins."io.containerd.grpc.v1.cri".registry.configs."gcr.io"]
     [plugins."io.containerd.grpc.v1.cri".registry.configs."privateregistry2.io".tls]
     ca_file = '/etc/containerd/certs.d/privateregistry2.io/ca.crt'
     [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
     [plugins."io.containerd.grpc.v1.cri".registry.mirrors."gcr.io"]
     endpoint = ["http://privateregistry.io", "http://privateregistry2.io"]
     ...
     

  3. 레지스트리 미러가 endpoint 필드에 표시되면 노드가 Artifact Registry가 아닌 레지스트리 미러에서 이미지를 가져옵니다.