비공개 이미지 레지스트리 사용

Azure용 GKE 설치는 기본적으로 공개 이미지에 액세스할 수 있습니다. 이 주제에서는 Artifact Registry와 같은 비공개 컨테이너 이미지 저장소와 함께 Azure용 GKE를 사용하는 방법을 설명합니다.

시작하기 전에

이 페이지의 단계를 수행하려면 먼저 다음을 완료합니다.

• 클러스터 만들기
• 노드 풀 만들기

• kubectl의 클러스터 액세스 구성

• Docker 이미지를 빌드하고 Artifact Registry에 푸시합니다. 이 페이지의 예시에서는 hello-app 컨테이너를 사용합니다. 이 컨테이너를 빌드하려면 다음 단계를 수행하여 Google Cloud 기반 GKE 문서의 일부로 컨테이너 이미지를 빌드하고 Artifact Registry로 Docker 이미지를 내보냅니다.

Artifact Registry에서 이미지 확인

이 단계의 나머지 부분을 완료하려면 컨테이너 이미지가 필요합니다. 다음 단계를 수행하여 컨테이너 이미지 이름을 가져옵니다.

1. Google Cloud SDK를 사용하여 Artifact Registry에 인증하도록 Docker 명령줄 도구를 구성합니다.

   gcloud auth configure-docker
   

   gcloud 명령줄 도구는 모든 Google 지원 Docker 레지스트리에 사용자 인증 정보 도우미를 등록합니다.

2. docker images 명령어를 사용하여 Artifact Registry에 이미지가 포함되어 있는지 확인합니다.

   docker images
   

   Docker는 Artifact Registry에 연결되고 저장소에서 사용할 수 있는 이미지를 반환합니다. 예를 들어 다음 응답에서는 us-west1-docker.pkg.dev의 PROJECT_NAME 저장소에 있는 hello-app이라는 컨테이너 이미지를 보여줍니다.

   REPOSITORY                                                            TAG          IMAGE ID       CREATED          SIZE
   us-west1-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app   v1           f7cfe0d58569   21 minutes ago   11.5MB
   

아직 컨테이너 이미지가 준비되어 있지 않으면 컨테이너화된 애플리케이션 배포의 단계를 수행하여 컨테이너 이미지를 만듭니다.

서비스 계정 만들기

클러스터는 Identity and Access Management(IAM) 서비스 계정을 사용하여 인증합니다.

새 서비스 계정을 만들려면 다음 단계를 따릅니다.

1. Google Cloud CLI를 사용하여 IAM 서비스 계정을 만듭니다.

   gcloud iam service-accounts create ACCOUNT_NAME
   

   ACCOUNT_NAME을 새 Google Cloud서비스 계정의 이름으로 바꿉니다.

2. 서비스 계정에 Artifact Registry 권한을 부여합니다.

   gcloud projects add-iam-policy-binding PROJECT_NAME \
     --member serviceAccount:ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com \
     --role roles/artifactregistry.reader
   

   다음을 바꿉니다.

   • PROJECT_NAME를 Google Cloud 프로젝트로 바꿉니다.
   • ACCOUNT_NAME을 Google Cloud 서비스 계정 이름으로 바꿉니다.

3. 계정의 서비스 계정 키를 다운로드합니다.

   gcloud iam service-accounts keys create registry-access-key.json \
     --iam-account ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com
   

   다음을 바꿉니다.

   • PROJECT_NAME
   • ACCOUNT_NAME

이제 Artifact Registry에 연결하도록 사용자 클러스터를 구성할 준비가 되었습니다.

클러스터에 키 저장

Artifact Registry에 인증하도록 키를 제공하려면 다음 단계를 수행하여 서비스 계정 키를 Kubernetes 보안 비밀로 저장합니다.

1. kubectl을 사용하여 보안 비밀을 만듭니다.

     kubectl create secret docker-registry registry-secret \
     --docker-server=LOCATION-docker.pkg.dev \
     --docker-username=_json_key \
     --docker-email=ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com \
     --docker-password="$(cat registry-access-key.json)"
   

   다음을 바꿉니다.

   • LOCATION: 저장소의 리전 또는 멀티 리전 위치입니다.
   • PROJECT_NAME
   • ACCOUNT_NAME

2. 서비스 계정 키의 로컬 복사본을 삭제합니다.

   rm registry-access-key.json
   

이제 워크로드에서 이 보안 비밀을 참조할 수 있습니다.

비공개 이미지로 워크로드 만들기

워크로드에 비공개 컨테이너 저장소의 이미지를 사용하려면 spec.imagePullSecrets 필드를 보안 비밀 이름으로 설정합니다. 이 필드는 포드 및 배포에서 서로 위치가 다릅니다.

포드 만들기

Container Registry에 액세스할 수 있는 포드를 만들려면 spec.imagePullSecrets 필드를 보안 비밀 이름으로 설정합니다.

1. spec.imagePullSecrets를 지정하는 포드를 만듭니다.

   apiVersion: v1
   kind: Pod
   metadata:
     name: POD_NAME
   spec:
     containers:
     - name: CONTAINER_NAME
       image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1
     imagePullSecrets:
     - name: registry-secret
   

   다음을 바꿉니다.

   • POD_NAME: 포드의 이름
   • CONTAINER_NAME: 포드 내부의 컨테이너 이름
   • LOCATION
   • PROJECT_NAME

   예를 들어 hello-app 이미지를 가져오려면 다음 YAML을 hello-pod.yaml 파일에 복사합니다.

   apiVersion: v1
   kind: Pod
   metadata:
     name: hello-pod
   spec:
     containers:
     - name: hello-container
       image: us-west1-docker.pkg.dev/example-project/hello-repo/hello-app:v1
     imagePullSecrets:
     - name: registry-secret
   

2. kubectl을 사용하여 구성을 클러스터에 적용합니다.

   kubectl apply -f hello-pod.yaml
   

3. kubectl get를 사용하여 pod가 실행되고 있는지 확인합니다.

   kubectl get pod/hello-pod
   

   응답에 Running 상태의 pod 한 개가 포함됩니다.

   NAME        READY   STATUS    RESTARTS   AGE
   hello-pod   1/1     Running   0          15s
   

배포 만들기

1. 배포에서 비공개 저장소를 사용하려면 템플릿 내에 imagePullSecret을 지정합니다.

   예를 들어 hello-app 이미지를 사용하는 배포를 구성하려면 다음 콘텐츠가 포함된 hello-deployment.yaml이라는 파일을 만듭니다.

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: hello-app-deployment
   spec:
     selector:
       matchLabels:
         app: products
         department: sales
     replicas: 3
     template:
       metadata:
         labels:
           app: products
           department: sales
       spec:
         containers:
         - name: hello
           image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1
           env:
           - name: "PORT"
             value: "50001"
         imagePullSecrets:
         - name: registry-secret
   

   다음을 바꿉니다.

   • LOCATION
   • PROJECT_NAME

2. kubectl을 사용하여 구성을 클러스터에 적용합니다.

   kubectl apply -f hello-deployment.yaml
   

3. kubectl pods를 사용하여 배포가 실행 중인지 확인합니다.

   kubectl get pods --selector=app=products
   

   출력에 3개의 Running 포드가 표시됩니다.

   NAME                                    READY   STATUS    RESTARTS   AGE
   hello-app-deployment-67d9c6d98c-b69f2   1/1     Running   0          14m
   hello-app-deployment-67d9c6d98c-d6k5c   1/1     Running   0          14m
   hello-app-deployment-67d9c6d98c-p2md5   1/1     Running   0          14m
   

삭제

이 페이지에서 만든 리소스를 삭제하려면 다음 명령어를 실행합니다.

kubectl apply -f hello-pod.yaml
kubectl delete -f hello-deployment.yaml

다음 단계

• Artifact Registry 개요 읽어보기