AWS용 GKE 설치는 기본적으로 공개 이미지에 액세스할 수 있습니다. 이 주제에서는 Artifact Registry와 같은 비공개 컨테이너 이미지 저장소와 함께 AWS용 GKE를 사용하는 방법을 설명합니다.
AWS용 GKE는 버전 1.28부터 Kubernetes 보안 비밀을 사용할 필요 없이 Artifact Registry 또는 Container Registry에서 비공개 이미지를 가져오는 방법을 제공합니다. 자세한 내용은 보안 비밀 없이 비공개 이미지 레지스트리 사용을 참조하세요.시작하기 전에
이 페이지의 단계를 수행하려면 먼저 다음을 완료합니다.
- 클러스터 만들기
- 노드 풀 만들기
Docker 이미지를 빌드하고 Artifact Registry에 푸시합니다. 이 페이지의 예시에서는
hello-app
컨테이너를 사용합니다. 이 컨테이너를 빌드하려면 다음 단계를 수행하여 Google Cloud 기반 GKE 문서의 일부로 컨테이너 이미지를 빌드하고 Artifact Registry로 Docker 이미지를 내보냅니다.
Artifact Registry에서 이미지 확인
이 단계의 나머지 부분을 완료하려면 컨테이너 이미지가 필요합니다. 다음 단계를 수행하여 컨테이너 이미지 이름을 가져옵니다.
Google Cloud SDK를 사용하여 Artifact Registry에 인증하도록 Docker 명령줄 도구를 구성합니다.
gcloud auth configure-docker
gcloud
명령줄 도구는 모든 Google 지원 Docker 레지스트리에 사용자 인증 정보 도우미를 등록합니다.docker images
명령어를 사용하여 Artifact Registry에 이미지가 포함되어 있는지 확인합니다.docker images
Docker는 Artifact Registry에 연결되고 저장소에서 사용할 수 있는 이미지를 반환합니다. 예를 들어 다음 응답에서는
us-west1-docker.pkg.dev
의PROJECT_NAME
저장소에 있는hello-app
이라는 컨테이너 이미지를 보여줍니다.REPOSITORY TAG IMAGE ID CREATED SIZE us-west1-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app v1 f7cfe0d58569 21 minutes ago 11.5MB
아직 컨테이너 이미지가 준비되어 있지 않으면 컨테이너화된 애플리케이션 배포의 단계를 수행하여 컨테이너 이미지를 만듭니다.
서비스 계정 만들기
클러스터는 Identity and Access Management(IAM) 서비스 계정을 사용하여 인증합니다.
새 서비스 계정을 만들려면 다음 단계를 따릅니다.
Google Cloud CLI를 사용하여 IAM 서비스 계정을 만듭니다.
gcloud iam service-accounts create ACCOUNT_NAME
ACCOUNT_NAME을 새 Google Cloud 서비스 계정 이름으로 바꿉니다.
서비스 계정에 Artifact Registry 권한을 부여합니다.
gcloud projects add-iam-policy-binding PROJECT_NAME \ --member serviceAccount:ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com \ --role roles/artifactregistry.reader
다음을 바꿉니다.
PROJECT_NAME
를 Google Cloud 프로젝트로 바꿉니다.ACCOUNT_NAME
을 Google Cloud 서비스 계정 이름으로 바꿉니다.
계정의 서비스 계정 키를 다운로드합니다.
gcloud iam service-accounts keys create registry-access-key.json \ --iam-account ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com
다음을 바꿉니다.
PROJECT_NAME
ACCOUNT_NAME
이제 Artifact Registry에 연결하도록 사용자 클러스터를 구성할 준비가 되었습니다.
클러스터에 키 저장
Artifact Registry에 인증하도록 키를 제공하려면 다음 단계를 수행하여 서비스 계정 키를 Kubernetes 보안 비밀로 저장합니다.
kubectl
을 사용하여 보안 비밀을 만듭니다.kubectl create secret docker-registry registry-secret \ --docker-server=LOCATION-docker.pkg.dev \ --docker-username=_json_key \ --docker-email=ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com \ --docker-password="$(cat registry-access-key.json)"
다음을 바꿉니다.
LOCATION
: 저장소의 리전 또는 멀티 리전 위치입니다.PROJECT_NAME
ACCOUNT_NAME
서비스 계정 키의 로컬 복사본을 삭제합니다.
rm registry-access-key.json
이제 워크로드에서 이 보안 비밀을 참조할 수 있습니다.
비공개 이미지로 워크로드 만들기
워크로드에 비공개 컨테이너 저장소의 이미지를 사용하려면 spec.imagePullSecrets
필드를 보안 비밀 이름으로 설정합니다. 이 필드는 포드 및 배포에서 서로 위치가 다릅니다.
포드 만들기
Container Registry에 액세스할 수 있는 포드를 만들려면 spec.imagePullSecrets
필드를 보안 비밀 이름으로 설정합니다.
spec.imagePullSecrets
를 지정하는 포드를 만듭니다.apiVersion: v1 kind: Pod metadata: name: POD_NAME spec: containers: - name: CONTAINER_NAME image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1 imagePullSecrets: - name: registry-secret
다음을 바꿉니다.
POD_NAME
: 포드의 이름CONTAINER_NAME
: 포드 내부의 컨테이너 이름LOCATION
PROJECT_NAME
예를 들어
hello-app
이미지를 가져오려면 다음 YAML을hello-pod.yaml
파일에 복사합니다.apiVersion: v1 kind: Pod metadata: name: hello-pod spec: containers: - name: hello-container image: us-west1-docker.pkg.dev/example-project/hello-repo/hello-app:v1 imagePullSecrets: - name: registry-secret
kubectl
을 사용하여 구성을 클러스터에 적용합니다.kubectl apply -f hello-pod.yaml
kubectl get
를 사용하여 pod가 실행되고 있는지 확인합니다.kubectl get pod/hello-pod
응답에
Running
상태의 pod 한 개가 포함됩니다.NAME READY STATUS RESTARTS AGE hello-pod 1/1 Running 0 15s
배포 만들기
배포에서 비공개 저장소를 사용하려면 템플릿 내에
imagePullSecret
을 지정합니다.예를 들어
hello-app
이미지를 사용하는 배포를 구성하려면 다음 콘텐츠가 포함된hello-deployment.yaml
이라는 파일을 만듭니다.apiVersion: apps/v1 kind: Deployment metadata: name: hello-app-deployment spec: selector: matchLabels: app: products department: sales replicas: 3 template: metadata: labels: app: products department: sales spec: containers: - name: hello image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1 env: - name: "PORT" value: "50001" imagePullSecrets: - name: registry-secret
다음을 바꿉니다.
LOCATION
PROJECT_NAME
kubectl
을 사용하여 구성을 클러스터에 적용합니다.kubectl apply -f hello-deployment.yaml
kubectl pods
를 사용하여 배포가 실행 중인지 확인합니다.kubectl get pods --selector=app=products
출력에 3개의
Running
포드가 표시됩니다.NAME READY STATUS RESTARTS AGE hello-app-deployment-67d9c6d98c-b69f2 1/1 Running 0 14m hello-app-deployment-67d9c6d98c-d6k5c 1/1 Running 0 14m hello-app-deployment-67d9c6d98c-p2md5 1/1 Running 0 14m
삭제
이 페이지에서 만든 리소스를 삭제하려면 다음 명령어를 실행합니다.
kubectl apply -f hello-pod.yaml
kubectl delete -f hello-deployment.yaml
다음 단계
- Artifact Registry 개요 읽어보기