도커 교과서 5장 도커 허브 등 레지스트리에 이미지 공유하기

5. 도커 허브 등 레지스트리에 이미지 공유하기

• 도커의 가장 큰 장점이 공유다.
• 우리가 개발한 소프트웨어를 모든 의존 모듈과 함께 패키징한다면 어떤 환경에서라도 소프트웨어를 쉽게 실행할 수 있다.

5.1 레스트리, 리포지터리, 이미지 태그 다루기

• 우리가 이미지를 내려 받는 서버를 도커 레지스트리 라고 한다.
• 도커 레지스트리 중 도커 허브가 제일 유명하다.
• 도커 이미지의 전체 이름(이미지 참조, image reference) 는 네 개의 요소로 구성된다.

[이미지 레지스트리 서버]/[이미지 자성자의 계정 이름]/[이미지 레포지터리 이름, 애플리케이션 이름]:[이미지 태그]
docker.io/diamol/golang:latest

• 이미지 레지스트리 서버의 기본값은 docker.io 이고, 태그의 기본값은 latest 이다.
• 만약, 현재 회사처럼 Harbor 를 따로 사용중일 경우에는 명시해야 한다.
• 직접 이미지를 만들어서 버전 관리를 진행하는 경우 태그를 명시적으로 작성하여 혼용되지 않도록 관리 해야 한다.

5.2 도커 허브에 직접 빌드한 이미지 푸시하기

• 이미지 참조에 계정 이름이 들어가야 도커 허브에 푸시할 수 있다.
• 이미 빌드된 이미지는 다시 빌드하지 않더라도 이미지 참조를 부여할 수 있다.

$ export dockerId=
$ docker login --username $dockerId
$ docker image tag image-gallery $dockerId/image-gallery:v1
$ docker image ls --filer reference=image-gallery --filter reference='*/image-gallery'
$ docker image push $dockerId/image-gallery:v1
$ echo "<https://hub.docker.com/r/$dockerId/image-gallery/tags>"

• 도커 레지스트리도 도커 엔진과 같은 방식으로 이미지 레이어를 다룬다.
• 따라서, Dockerfile 의 최적화가 중요하다.
• Dockerfile 스크릅티는 빌드 시간. 디스크 용량을 넘어 네트워크 대역폭까지 영향을 미치는 중요한 요소다.

5.3 나만의 도커 레지스트리 운영하기

• 로컬 네트워크에 전용 레지스트리가 있다면, 인터넷 회선 사용량을 줄여 주며 전송 시간을 절약 할 수 있다.
• 또한, 다른 사람에게 공유되지 않을 수 있다는 이점이 있다.
• 도커 코어 레지스트리 서버는 docker/distribution 에서 개발이 진행된다.
• 코어 레지스트리 서버는 도커 허브와 동일한 레이어 캐시 시스템을 통해 이미지를 내려받고 푸시하는 기본적인 기능을 제공하지만, 웹 UI 기능은 빠져있다.

$ docker container run -d -p 5000:500 --restart always diamol/registry
$ echo $'\\n127.0.0.1 registry.local' | sudo tee -a /etc/hosts

127.0.0.1 registry.local

$ vi /etc/hosts

127.0.0.1 registry.local

$ ping registry.local
PING registry.local (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.067 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.041 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.026 ms
^C
--- registry.local ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2030ms
rtt min/avg/max/mdev = 0.026/0.044/0.067/0.016 ms

비보안 레지스트리 등록

• 비보안 레지스트리를 사용할 떄는 주의가 필요하다.
• 도커 엔진과 레지스트리의 통신 내용을 제삼자가 엿볼 수 있으며, 이미지 푸시 과정에서 레이어가 유출될 수 있다.
• 최악의 경우 레지스트리에서 이미지를 받아 올 때 위조된 가짜 이미지를 받아 올 가능성도 있다.

$ vi /etc/docker/daemon.json

{
  "insecure-registries": ["registry.local:5000"]
}

$ docker image push registry.local:5000/gallery/ui:v1

5.4 이미지 태그를 효율적으로 사용하기

• 도커 이미지 태그는 어떤 문자열이라도 포함시킬 수 있다.
• 대부분의 이미지는 [major].[minor].[patch] 형태의 버전 기법을 사용한다.

$ docker image tag image-gallery registry.local:5000/gallery/ui:latest
$ docker image tag image-gallery registry.local:5000/gallery/ui:2
$ docker iamge tag image-gallery registry.local:5000/gallery/ui:2.1
$ docker image tag image-gallery registry.local:5000/gallery/ui:2.1.106

• Dockerfile 스크립트의 기반 이미지는 가능한 한 정확한 버전을 지정하는 것이 좋다.
• 개발 팀과 동일한 도구로 빌드하고 동일한 런타임을 사용해 실행할 수 있기 때문이다.
• 버전을 구체적으로 지정하지 않으면 빌드용 이미지가 업데이트 되면서 빌드가 깨질 수도 있고, 런타임의 업데이트로 인해 애플리케이션 실행 과정에서 오류가 발생할 수도 있다.

5.5 공식 이미지에서 골든 이미지로 전환하기

• 도커 레지스트리에서 제공되는 이미지를 얼마나 신뢰할 수 있는지 판별 가능해야 한다.
• 도커 허브는 검증된 퍼블리셔(Verified Publisher) 와 공식 이미지(Official Image) 제도를 사용한다.
• 해당 이미지들은 취약점 탐지 등의 승인 절차를 거쳐 공개되므로, 검증된 퍼블리셔가 제공하는 인증된 이미지는 사용하는것이 좋다.
• 공식 이미지는 주로 오픈소스로, 해당 프로젝트 개발 팀과 도커가 함께 이미지를 관리한다.
• 공식 이미지 역시 취약점 검사를 주기적으로 하며, 최적화된 Dockerfile 스크립트로 구성된다.
• 공식 이미지의 모든 콘텐츠는 오픈 소스이며 깃허브 저장소에서 Dockerfile 스크립트를 직접 볼 수 있다.
• 골든 이미지 (Golden Image) 란 공식 이미지를 기반 이미지로 삼아 인증서나 환경 설정값 등 자신이 필요한 설정을 추가한 것이다.

$ cd ch05/exercises/dotnet-sdk
$ docker image build -t golden/dotnetcore-sdk:3.0 .

$ cd ../aspnet-runtime
$ docker image build -t golden/aspnet-core:3.0 .

FROM golden/dotnetcore-sdk:3.0 AS builder
COPY . .
RUN dotnet publish -o /out/app app.csproj

FROM golden/aspnet-core:3.0
COPY --from=builder /out /app
CMD ["dotnet", "/app/app.dll"]

• 기반 이미지를 우리가 만든 골든 이미지로 사용한 Dockerfile 스크립트 이다.
• CI / CD 파이프라인에서 공식 이미지의 최신버전을 사용하기보다, 골든 이미지를 사용하는 것이 좋은 방법이다.

5.6 연습문제

Registry

• 위의 Registry 문서를 참고하여 아래의 내용을 해결하라.

# docker build -t registry.local:5000/gallery/ui .

A. 한 번의 image push 명령어만으로 모든 태그를 푸시해라

# 이미지 준비
$ docker image build -t gallery/ui:latest
$ docker image build -t gallery/ui:1.1.1
$ docker image build -t gallery/ui:2.2.2

# 모든 이미지 푸시
$ docker image push registry.local:5000/gallery/ui

# docker push registry.local:5000/gallery/ui
Using default tag: latest
The push refers to repository [registry.local:5000/gallery/ui]
d287d2f650d9: Pushed 
8326b85cae07: Pushed 
866a21c83696: Pushed 
39adc7867f55: Pushed 
c087aa3a9887: Pushed 
20312b574584: Pushed 
latest: digest: sha256:88952f19c9833bbc27fa3a486da606d8301533eef91f34e8829c097249f390aa size: 1573

# 레지스트리 확인하기
$ curl <http://registry.local:5000/v2/gallery/ui/tags/list>

{"name":"gallery/ui","tags":["latest"]}

B. 레포지터리(gallery/ui) 의 태그 목록을 확인

$ curl -X GET <http://registry.local:5000/v2/gallery/ui/tags/list>

{"name":"gallery/ui","tags":["latest"]}

C. 이미지 매니페스트 확인

• HTTP 헤더를 확인하면 Docker-Content-Digest 헤더가 존재한다.
• 해당 헤더를 통해 삭제요청할 것이다.

$ curl -X GET <http://registry.local:5000/v2/gallery/ui/manifests/latest>

{
   "schemaVersion": 1,
   "name": "gallery/ui",
   "tag": "latest",
   "architecture": "arm64",
   "fsLayers": [  ... ],
   "history": [ ... ],
   "signatures": [
      {
         "header": {
            "jwk": {
               ...
            },
            "alg": "ES256"
         },
         "signature": "",
         "protected": ""
      }
   ]
}

$ curl -I -X GET <http://registry.local:5000/v2/gallery/ui/manifests/latest>
HTTP/1.1 200 OK
Content-Length: 5158
Content-Type: application/vnd.docker.distribution.manifest.v1+prettyjws
Docker-Content-Digest: sha256:4ea5dee4ce8e11a03dc25e2bf2a9e83a40ad05209d48e28255743f80fc8cd9d1
Docker-Distribution-Api-Version: registry/2.0
Etag: "sha256:4ea5dee4ce8e11a03dc25e2bf2a9e83a40ad05209d48e28255743f80fc8cd9d1"
X-Content-Type-Options: nosniff
Date: Mon, 18 Nov 2024 08:17:28 GMT

D. API 를 통한 이미지 삭제

$ curl -X DELETE <http://registry.local:5000/v2/gallery/ui/manifests/sha256:4ea5dee4ce8e11a03dc25e2bf2a9e83a40ad05209d48e28255743f80fc8cd9d1>