[k8s] ImagePullSecrets

Pod를 띄워서 쓸때 공개된 이미지만 쓴다면 참 편하겠지만, 실제 응용에서는 당연히 비공개 컨테이너를 쓸 경우가 압도적으로 많다. 서버 컨테이너에는 대부분 민감한 정보와 코드가 들어있기 때문이다.

여튼 비공개 Docker Registry에서 이미지를 받아오려면 쿠버가 인증 정보를 들고서 다운받을 수 있도록 하게 해줘야 하는데, 그걸 해주는 것이 ImagePullSecrets이라는 것이다.
이에 대한 사용법을 간단히 정리해본다.

Private 레포지토리의 이미지를 사용하는 Deployment가 있다고 가정하겠다.

그냥 실행하면, 당연히 서버 보안에 막혀서 이미지 다운로드와 실행이 실패할 것이다.

Secrets 만들기

인증 정보는 secret 리소스를 통해서 만들고 관리할 수 있다.

만약 Harbor 등을 통해서 커스텀 저장소를 구성한 경우에는, 그 엔드포인트와 계정 정보를 전달해서 생성한다.

kubectl create secret docker-registry 시크릿명 --docker-server=서버 --docker-username=유저네임 --docker-password=패스워드 --docker-email=이메일

AWS ECR, Github Registry 같은 클라우드 서비스들을 쓸 경우에는, 해당 서비스에서 제공하는 가이드라인을 따라서 만들면 된다.
서비스 기술문서에 다 적혀있을 것이다.

예: AWS ECR의 경우

먼저 AWS의 ECR API를 사용해서 전용 Docker 호환 토큰을 받아야 한다.

aws ecr get-authorization-token \
                     --region 리전 \
                     --output text \
                     --query 'authorizationData[0].authorizationToken'

그리고 그 토큰을 패스워드로 넣어서 다음과 같이 만들어주면 된다.

kubectl create secret docker-registry 시크릿명 \
    --docker-server=https://계정ID.dkr.ecr.리전.amazonaws.com \
    --docker-username=AWS \
    --docker-password=토큰 \
    --docker-email=이메일

시크릿을 imagePullSecrets로 적용

아무튼 시크릿을 제대로 만들었다면, 바로 Pod에 붙여서 적용시킬 수 있다.

사용 방식은 매우 간단하다. spec.imagePullSecrets에 방금 만든 시크릿의 이름만 넣어주면 된다.
그럼 쿠버가 알아서 시크릿 읽어서 다운로드를 시도한다.

이 경우에는 Deployment라서 예외적으로 template 내부의 spec에 들어갔다.

인증정보가 제대로 들어갔다면, 이제는 제대로 잘 받아올 것이다.

참조
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
https://blog.naver.com/sssang97/223101036344