보안 비밀 없이 비공개 이미지 레지스트리 사용

AWS용 GKE는 Kubernetes 보안 비밀을 사용할 필요 없이 Artifact Registry 또는 Container Registry에서 비공개 이미지를 가져오는 방법을 제공합니다. 이전에는 다음 단계를 수행해야 했습니다.

1. Google Identity and Access Management(IAM) 서비스 계정을 만듭니다.
2. 서비스 계정에 비공개 레지스트리에 액세스할 수 있는 권한을 부여합니다.
3. 서비스 계정 키를 다운로드하고 이를 클러스터에 Kubernetes 보안 비밀로 저장합니다.
4. 포드가 비공개 컨테이너 저장소의 이미지에 액세스할 수 있도록 포드 또는 배포의 YAML 매니페스트에서 이 보안 비밀을 참조합니다.
5. Google IAM 서비스 계정과 연결된 키를 정기적으로 순환하고 관리합니다.

AWS용 GKE는 이러한 모든 수동 단계를 제거하고 비공개 이미지를 가져오는 데 필요한 인증 및 승인을 자동으로 처리합니다.

시작하기 전에

이 페이지의 단계를 수행하려면 먼저 다음을 완료합니다.

• 클러스터 만들기
• 노드 풀 만들기

• kubectl의 클러스터 액세스 구성

• Docker 이미지를 빌드하고 Artifact Registry에 푸시합니다. 이 페이지의 예시에서는 hello-app 컨테이너를 사용합니다. 이 컨테이너를 빌드하려면 다음 단계를 수행하여 Google Cloud 기반 GKE 문서의 일부로 컨테이너 이미지를 빌드하고 Artifact Registry로 Docker 이미지를 내보냅니다.

• Kubernetes 보안 비밀을 사용할 필요 없이 Artifact Registry 또는 Container Registry에서 비공개 이미지를 가져올 수 있도록 AWS용 GKE 버전 1.28로 업그레이드합니다.

Artifact Registry에서 이미지 확인

이 단계의 나머지 부분을 완료하려면 컨테이너 이미지가 필요합니다. 다음 단계를 수행하여 컨테이너 이미지 이름을 가져옵니다.

1. Google Cloud SDK를 사용하여 Artifact Registry에 인증하도록 Docker 명령줄 도구를 구성합니다.

   gcloud auth configure-docker
   

   Google Cloud CLI는 Google에서 지원하는 모든 Docker 레지스트리에 사용자 인증 정보 도우미를 등록합니다.

2. docker images 명령어를 사용하여 Artifact Registry에 이미지가 포함되어 있는지 확인합니다.

   docker images
   

   Docker는 Artifact Registry에 연결되고 저장소에서 사용할 수 있는 이미지를 반환합니다. 예를 들어 다음 응답은 us-west1-docker.pkg.dev의 PROJECT_NAME 저장소에 있는 hello-app이라는 컨테이너 이미지를 보여줍니다.

   REPOSITORY                                                            TAG          IMAGE ID       CREATED          SIZE
   us-west1-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app   v1           f7cfe0d58569   21 minutes ago   11.5MB
   

아직 컨테이너 이미지가 준비되어 있지 않으면 컨테이너화된 애플리케이션 배포의 단계를 수행하여 컨테이너 이미지를 만듭니다.

이미지 가져오기 보안 비밀 없이 비공개 이미지로 포드 만들기

레지스트리에서 비공개 컨테이너 이미지에 액세스할 수 있는 포드를 만들기 위해 더 이상 포드 사양에서 spec.imagePullSecrets 필드를 제공할 필요가 없습니다. 포드를 설정하려면 다음 단계를 수행하세요.

1. spec.imagePullSecrets 필드 없이 포드 정의를 만듭니다.

   apiVersion: v1
   kind: Pod
   metadata:
     name: POD_NAME
   spec:
     containers:
     - name: CONTAINER_NAME
       image: LOCATION-docker.pkg.dev/PROJECT_NAME/REPOSITORY_NAME/IMAGE_NAME:IMAGE_VERSION
   

   다음을 바꿉니다.

   • POD_NAME: 포드의 이름입니다.
   • CONTAINER_NAME: 포드 내부의 컨테이너 이름입니다.
   • LOCATION: 레지스트리가 포함된 Google Cloud 리전입니다. 예를 들면 us-west1입니다.
   • PROJECT_NAME: Artifact Registry 저장소를 호스팅하는 Google 프로젝트의 이름으로, 클러스터 프로젝트와 동일할 수 있습니다. 저장소가 다른 프로젝트에 있으면 클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry 사용에서 추가 단계를 참조하세요.
   • REPOSITORY_NAME: 저장소 이름입니다.
   • IMAGE_NAME: 이미지의 이름입니다.
   • IMAGE_VERSION: 이미지의 버전입니다.

2. kubectl로 클러스터에 구성을 적용합니다.

   kubectl apply -f YAML_FILE_NAME
   

   YAML_FILE_NAME을 YAML 파일의 이름으로 바꿉니다.

이미지 가져오기 보안 비밀 없는 포드 만들기 예시

다음은 이미지 가져오기 보안 비밀 없이 Kubernetes 포드를 만드는 예시입니다. 포드는 Artifact Registry에서 hello-app 이미지를 가져옵니다.

1. hello-app 이미지를 가져오려면 다음 YAML을 hello-pod.yaml 파일에 복사합니다.

   apiVersion: v1
   kind: Pod
   metadata:
     name: hello-pod
   spec:
     containers:
     - name: hello-container
       image: us-west1-docker.pkg.dev/example-project/hello-repo/hello-app:v1
   

2. kubectl로 클러스터에 구성을 적용합니다.

   kubectl apply -f hello-pod.yaml
   

3. kubectl get를 사용하여 pod가 실행되고 있는지 확인합니다.

   kubectl get pod/hello-pod
   

   응답에 Running 상태의 pod 한 개가 포함됩니다.

   NAME        READY   STATUS    RESTARTS   AGE
   hello-pod   1/1     Running   0          15s
   

이미지 가져오기 보안 비밀 없이 비공개 이미지로 배포 만들기

레지스트리에서 비공개 컨테이너 이미지에 액세스할 수 있는 배포를 만들기 위해 더 이상 배포 사양에 spec.imagePullSecrets 필드를 제공할 필요가 없습니다. 배포를 설정하려면 다음 단계를 수행하세요.

1. spec.imagePullSecrets 필드 없이 배포 정의를 만듭니다.

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: DEPLOYMENT_NAME
   spec:
     replicas: NUMBER_OF_REPLICAS
     template:
       spec:
         containers:
         - name: CONTAINER_NAME
           image: LOCATION-docker.pkg.dev/PROJECT_NAME/REPOSITORY_NAME/IMAGE_NAME:IMAGE_VERSION
   

   다음을 바꿉니다.

   • DEPLOYMENT_NAME: 배포 이름입니다.
   • NUMBER_OF_REPLICAS: 특정 시점에 실행한 배포에 정의된 포드의 인스턴스 수입니다.
   • CONTAINER_NAME: 포드 내부의 컨테이너 이름입니다.
   • LOCATION: 레지스트리가 포함된 Google Cloud 리전입니다. 예를 들면 us-west1입니다.
   • PROJECT_NAME: Artifact Registry 저장소를 호스팅하는 Google 프로젝트의 이름으로, 클러스터 프로젝트와 동일하지 않을 수 있습니다. 저장소가 다른 프로젝트에 있으면 클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry 사용에서 추가 단계를 참조하세요.
   • REPOSITORY_NAME: 저장소 이름입니다.
   • IMAGE_NAME: 이미지의 이름입니다.
   • IMAGE_VERSION: 이미지의 버전입니다.

2. kubectl을 사용하여 구성을 클러스터에 적용합니다.

   kubectl apply -f name-of-your-yaml-file.yaml
   

이미지 가져오기 보안 비밀 없이 배포 만들기의 예시

다음은 이미지 가져오기 보안 비밀 없이 배포를 만드는 예시입니다. 배포는 Artifact Registry에서 hello-app 이미지를 가져옵니다.

1. 다음 콘텐츠로 hello-deployment.yaml라는 파일을 만듭니다.

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: hello-app-deployment
   spec:
     selector:
       matchLabels:
         app: products
         department: sales
     replicas: 3
     template:
       metadata:
         labels:
           app: products
           department: sales
       spec:
         containers:
         - name: hello
           image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1
           env:
           - name: "PORT"
             value: "50001"
   

   다음을 바꿉니다.

   • LOCATION: 레지스트리가 포함된 Google Cloud 리전입니다. 예를 들면 us-west1입니다.
   • PROJECT_NAME: Artifact Registry 저장소를 호스팅하는 Google 프로젝트의 이름으로, 클러스터 프로젝트와 동일하지 않을 수 있습니다. 저장소가 다른 프로젝트에 있으면 클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry 사용에서 추가 단계를 참조하세요.

2. kubectl을 사용하여 구성을 클러스터에 적용합니다.

   kubectl apply -f hello-deployment.yaml
   

3. kubectl pods를 사용하여 배포가 실행 중인지 확인합니다.

   kubectl get pods --selector=app=products
   

   출력에 3개의 Running 포드가 표시됩니다.

   NAME                                    READY   STATUS    RESTARTS   AGE
   hello-app-deployment-67d9c6d98c-b69f2   1/1     Running   0          14m
   hello-app-deployment-67d9c6d98c-d6k5c   1/1     Running   0          14m
   hello-app-deployment-67d9c6d98c-p2md5   1/1     Running   0          14m
   

클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry를 사용합니다.

클러스터가 포함된 저장소와 다른 Google 프로젝트에 있는 Artifact Registry 저장소를 사용하려면 다음 단계를 수행합니다.

클러스터의 노드 풀 가상 머신 인스턴스(노드 풀 머신 서비스 에이전트라고 함)에 대한 서비스 계정에 이 레지스트리에 액세스하는 데 필요한 권한을 부여합니다.

gcloud projects add-iam-policy-binding AR_PROJECT_ID \
  --member=NODE_POOL_MACHINE_SERVICE_AGENT \
  --role=ROLE

이 단계를 통해 클러스터는 별도의 프로젝트에 있는 레지스트리에서 아티팩트를 검색할 수 있습니다.

다음을 바꿉니다.

• AR_PROJECT_ID: Artifact Registry를 호스팅하는 Google 프로젝트의 ID입니다.
• NODE_POOL_MACHINE_SERVICE_AGENT: 클러스터의 노드 풀에 대한 서비스 계정이며 형식은 service-CLUSTER_RESOURCE_PROJECT_NUMBER@gcp-sa-gkemulticloudnpmachine.iam.gserviceaccount.com입니다.
• ROLE: Artifact Registry 저장소의 이미지에 액세스하기에 충분한 권한을 부여하는 역할 roles/artifactregistry.reader 또는 커스텀 역할입니다.

비공개 Google Container Registry 사용

Google 프로젝트 위치에 관계없이 비공개 Google Container Registry를 AWS용 GKE 클러스터와 통합하려면 다음 단계를 따르세요.

클러스터의 노드 풀 가상 머신 인스턴스의 서비스 계정인 노드 풀 머신 서비스 에이전트가 Container Registry에 액세스하도록 허용합니다.

gcloud projects add-iam-policy-binding GCR_PROJECT_ID \
  --member=NODE_POOL_MACHINE_SERVICE_AGENT \
  --role=ROLE

이 단계에서 클러스터 서비스 계정이 비공개 컨테이너 이미지에 액세스할 수 있습니다.

다음을 바꿉니다.

• GCR_PROJECT_ID: Container Registry를 호스팅하는 프로젝트의 ID입니다.
• NODE_POOL_MACHINE_SERVICE_AGENT: service-CLUSTER_RESOURCE_PROJECT_NUMBER@gcp-sa-gkemulticloudnpmachine.iam.gserviceaccount.com 형식의 노드 풀 서비스 계정입니다.
• ROLE: 충분한 Container Registry 액세스를 위해 storage.objectViewer 또는 커스텀 역할을 선택합니다. storage.objectViewer를 사용한 광범위한 액세스에 주의해야 합니다.

삭제

이 페이지에서 만든 리소스를 삭제하려면 다음 명령어를 실행합니다.

kubectl apply -f POD_YAML_FILE
kubectl delete -f DEPLOYMENT_YAML_FILE

다음을 바꿉니다.

• POD_YAML_FILE: 포드를 정의한 YAML 파일의 이름입니다.
• DEPLOYMENT_YAML_FILE: 배포를 정의한 YAML 파일의 이름입니다.

다음 단계

• Artifact Registry 개요 읽어보기