AWS용 GKE는 Kubernetes 보안 비밀을 사용할 필요 없이 Artifact Registry 또는 Container Registry에서 비공개 이미지를 가져오는 방법을 제공합니다. 이전에는 다음 단계를 수행해야 했습니다.
- Google Identity and Access Management(IAM) 서비스 계정을 만듭니다.
- 서비스 계정에 비공개 레지스트리에 액세스할 수 있는 권한을 부여합니다.
- 서비스 계정 키를 다운로드하고 이를 클러스터에 Kubernetes 보안 비밀로 저장합니다.
- 포드가 비공개 컨테이너 저장소의 이미지에 액세스할 수 있도록 포드 또는 배포의 YAML 매니페스트에서 이 보안 비밀을 참조합니다.
- Google IAM 서비스 계정과 연결된 키를 정기적으로 순환하고 관리합니다.
AWS용 GKE는 이러한 모든 수동 단계를 제거하고 비공개 이미지를 가져오는 데 필요한 인증 및 승인을 자동으로 처리합니다.
시작하기 전에
이 페이지의 단계를 수행하려면 먼저 다음을 완료합니다.
- 클러스터 만들기
- 노드 풀 만들기
Docker 이미지를 빌드하고 Artifact Registry에 푸시합니다. 이 페이지의 예시에서는
hello-app
컨테이너를 사용합니다. 이 컨테이너를 빌드하려면 다음 단계를 수행하여 Google Cloud 기반 GKE 문서의 일부로 컨테이너 이미지를 빌드하고 Artifact Registry로 Docker 이미지를 내보냅니다.Kubernetes 보안 비밀을 사용할 필요 없이 Artifact Registry 또는 Container Registry에서 비공개 이미지를 가져올 수 있도록 AWS용 GKE 버전 1.28로 업그레이드합니다.
Artifact Registry에서 이미지 확인
이 단계의 나머지 부분을 완료하려면 컨테이너 이미지가 필요합니다. 다음 단계를 수행하여 컨테이너 이미지 이름을 가져옵니다.
Google Cloud SDK를 사용하여 Artifact Registry에 인증하도록 Docker 명령줄 도구를 구성합니다.
gcloud auth configure-docker
Google Cloud CLI는 Google에서 지원하는 모든 Docker 레지스트리에 사용자 인증 정보 도우미를 등록합니다.
docker images
명령어를 사용하여 Artifact Registry에 이미지가 포함되어 있는지 확인합니다.docker images
Docker는 Artifact Registry에 연결되고 저장소에서 사용할 수 있는 이미지를 반환합니다. 예를 들어 다음 응답은
us-west1-docker.pkg.dev
의PROJECT_NAME
저장소에 있는hello-app
이라는 컨테이너 이미지를 보여줍니다.REPOSITORY TAG IMAGE ID CREATED SIZE us-west1-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app v1 f7cfe0d58569 21 minutes ago 11.5MB
아직 컨테이너 이미지가 준비되어 있지 않으면 컨테이너화된 애플리케이션 배포의 단계를 수행하여 컨테이너 이미지를 만듭니다.
이미지 가져오기 보안 비밀 없이 비공개 이미지로 포드 만들기
레지스트리에서 비공개 컨테이너 이미지에 액세스할 수 있는 포드를 만들기 위해 더 이상 포드 사양에서 spec.imagePullSecrets
필드를 제공할 필요가 없습니다. 포드를 설정하려면 다음 단계를 수행하세요.
spec.imagePullSecrets
필드 없이 포드 정의를 만듭니다.apiVersion: v1 kind: Pod metadata: name: POD_NAME spec: containers: - name: CONTAINER_NAME image: LOCATION-docker.pkg.dev/PROJECT_NAME/REPOSITORY_NAME/IMAGE_NAME:IMAGE_VERSION
다음을 바꿉니다.
POD_NAME
: 포드의 이름입니다.CONTAINER_NAME
: 포드 내부의 컨테이너 이름입니다.LOCATION
: 레지스트리가 포함된 Google Cloud 리전입니다. 예를 들면us-west1
입니다.PROJECT_NAME
: Artifact Registry 저장소를 호스팅하는 Google 프로젝트의 이름으로, 클러스터 프로젝트와 동일할 수 있습니다. 저장소가 다른 프로젝트에 있으면 클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry 사용에서 추가 단계를 참조하세요.REPOSITORY_NAME
: 저장소 이름입니다.IMAGE_NAME
: 이미지의 이름입니다.IMAGE_VERSION
: 이미지의 버전입니다.
kubectl
로 클러스터에 구성을 적용합니다.kubectl apply -f YAML_FILE_NAME
YAML_FILE_NAME
을 YAML 파일의 이름으로 바꿉니다.
이미지 가져오기 보안 비밀 없는 포드 만들기 예시
다음은 이미지 가져오기 보안 비밀 없이 Kubernetes 포드를 만드는 예시입니다. 포드는 Artifact Registry에서 hello-app
이미지를 가져옵니다.
hello-app
이미지를 가져오려면 다음 YAML을hello-pod.yaml
파일에 복사합니다.apiVersion: v1 kind: Pod metadata: name: hello-pod spec: containers: - name: hello-container image: us-west1-docker.pkg.dev/example-project/hello-repo/hello-app:v1
kubectl
로 클러스터에 구성을 적용합니다.kubectl apply -f hello-pod.yaml
kubectl get
를 사용하여 pod가 실행되고 있는지 확인합니다.kubectl get pod/hello-pod
응답에
Running
상태의 pod 한 개가 포함됩니다.NAME READY STATUS RESTARTS AGE hello-pod 1/1 Running 0 15s
이미지 가져오기 보안 비밀 없이 비공개 이미지로 배포 만들기
레지스트리에서 비공개 컨테이너 이미지에 액세스할 수 있는 배포를 만들기 위해 더 이상 배포 사양에 spec.imagePullSecrets
필드를 제공할 필요가 없습니다.
배포를 설정하려면 다음 단계를 수행하세요.
spec.imagePullSecrets
필드 없이 배포 정의를 만듭니다.apiVersion: apps/v1 kind: Deployment metadata: name: DEPLOYMENT_NAME spec: replicas: NUMBER_OF_REPLICAS template: spec: containers: - name: CONTAINER_NAME image: LOCATION-docker.pkg.dev/PROJECT_NAME/REPOSITORY_NAME/IMAGE_NAME:IMAGE_VERSION
다음을 바꿉니다.
DEPLOYMENT_NAME
: 배포 이름입니다.NUMBER_OF_REPLICAS
: 특정 시점에 실행한 배포에 정의된 포드의 인스턴스 수입니다.CONTAINER_NAME
: 포드 내부의 컨테이너 이름입니다.LOCATION
: 레지스트리가 포함된 Google Cloud 리전입니다. 예를 들면us-west1
입니다.PROJECT_NAME
: Artifact Registry 저장소를 호스팅하는 Google 프로젝트의 이름으로, 클러스터 프로젝트와 동일하지 않을 수 있습니다. 저장소가 다른 프로젝트에 있으면 클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry 사용에서 추가 단계를 참조하세요.REPOSITORY_NAME
: 저장소 이름입니다.IMAGE_NAME
: 이미지의 이름입니다.IMAGE_VERSION
: 이미지의 버전입니다.
kubectl
을 사용하여 구성을 클러스터에 적용합니다.kubectl apply -f name-of-your-yaml-file.yaml
이미지 가져오기 보안 비밀 없이 배포 만들기의 예시
다음은 이미지 가져오기 보안 비밀 없이 배포를 만드는 예시입니다. 배포는 Artifact Registry에서 hello-app
이미지를 가져옵니다.
다음 콘텐츠로
hello-deployment.yaml
라는 파일을 만듭니다.apiVersion: apps/v1 kind: Deployment metadata: name: hello-app-deployment spec: selector: matchLabels: app: products department: sales replicas: 3 template: metadata: labels: app: products department: sales spec: containers: - name: hello image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1 env: - name: "PORT" value: "50001"
다음을 바꿉니다.
LOCATION
: 레지스트리가 포함된 Google Cloud 리전입니다. 예를 들면us-west1
입니다.PROJECT_NAME
: Artifact Registry 저장소를 호스팅하는 Google 프로젝트의 이름으로, 클러스터 프로젝트와 동일하지 않을 수 있습니다. 저장소가 다른 프로젝트에 있으면 클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry 사용에서 추가 단계를 참조하세요.
kubectl
을 사용하여 구성을 클러스터에 적용합니다.kubectl apply -f hello-deployment.yaml
kubectl pods
를 사용하여 배포가 실행 중인지 확인합니다.kubectl get pods --selector=app=products
출력에 3개의
Running
포드가 표시됩니다.NAME READY STATUS RESTARTS AGE hello-app-deployment-67d9c6d98c-b69f2 1/1 Running 0 14m hello-app-deployment-67d9c6d98c-d6k5c 1/1 Running 0 14m hello-app-deployment-67d9c6d98c-p2md5 1/1 Running 0 14m
클러스터와 동일한 프로젝트에 있지 않은 경우 Artifact Registry를 사용합니다.
클러스터가 포함된 저장소와 다른 Google 프로젝트에 있는 Artifact Registry 저장소를 사용하려면 다음 단계를 수행합니다.
클러스터의 노드 풀 가상 머신 인스턴스(노드 풀 머신 서비스 에이전트라고 함)에 대한 서비스 계정에 이 레지스트리에 액세스하는 데 필요한 권한을 부여합니다.
gcloud projects add-iam-policy-binding AR_PROJECT_ID \
--member=NODE_POOL_MACHINE_SERVICE_AGENT \
--role=ROLE
이 단계를 통해 클러스터는 별도의 프로젝트에 있는 레지스트리에서 아티팩트를 검색할 수 있습니다.
다음을 바꿉니다.
AR_PROJECT_ID
: Artifact Registry를 호스팅하는 Google 프로젝트의 ID입니다.NODE_POOL_MACHINE_SERVICE_AGENT
: 클러스터의 노드 풀에 대한 서비스 계정이며 형식은service-CLUSTER_RESOURCE_PROJECT_NUMBER@gcp-sa-gkemulticloudnpmachine.iam.gserviceaccount.com
입니다.ROLE
: Artifact Registry 저장소의 이미지에 액세스하기에 충분한 권한을 부여하는 역할roles/artifactregistry.reader
또는 커스텀 역할입니다.
비공개 Google Container Registry 사용
Google 프로젝트 위치에 관계없이 비공개 Google Container Registry를 AWS용 GKE 클러스터와 통합하려면 다음 단계를 따르세요.
클러스터의 노드 풀 가상 머신 인스턴스의 서비스 계정인 노드 풀 머신 서비스 에이전트가 Container Registry에 액세스하도록 허용합니다.
gcloud projects add-iam-policy-binding GCR_PROJECT_ID \
--member=NODE_POOL_MACHINE_SERVICE_AGENT \
--role=ROLE
이 단계에서 클러스터 서비스 계정이 비공개 컨테이너 이미지에 액세스할 수 있습니다.
다음을 바꿉니다.
GCR_PROJECT_ID
: Container Registry를 호스팅하는 프로젝트의 ID입니다.NODE_POOL_MACHINE_SERVICE_AGENT
:service-CLUSTER_RESOURCE_PROJECT_NUMBER@gcp-sa-gkemulticloudnpmachine.iam.gserviceaccount.com
형식의 노드 풀 서비스 계정입니다.ROLE
: 충분한 Container Registry 액세스를 위해storage.objectViewer
또는 커스텀 역할을 선택합니다.storage.objectViewer
를 사용한 광범위한 액세스에 주의해야 합니다.
삭제
이 페이지에서 만든 리소스를 삭제하려면 다음 명령어를 실행합니다.
kubectl apply -f POD_YAML_FILE
kubectl delete -f DEPLOYMENT_YAML_FILE
다음을 바꿉니다.
POD_YAML_FILE
: 포드를 정의한 YAML 파일의 이름입니다.DEPLOYMENT_YAML_FILE
: 배포를 정의한 YAML 파일의 이름입니다.
다음 단계
- Artifact Registry 개요 읽어보기