기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Elastic Beanstalk에서 프라이빗 리포지토리의 이미지 사용
이 주제에서는 Elastic Beanstalk를 사용하여 프라이빗 온라인 이미지 리포지토리에 인증하는 방법을 설명합니다. Elastic Beanstalk는 이미지를 가져와 배포하기 전에 온라인 레지스트리로 인증을 받아야 합니다. 구성 옵션으로는 여러 가지가 있습니다.
Amazon ECR 리포지토리의 이미지 사용
Amazon Elastic Container Registry
Amazon ECR에 Docker 이미지를 저장하면 Elastic Beanstalk는 환경의 인스턴스 프로파일을 사용하여 Amazon ECR 레지스트리에 자동으로 인증합니다. 따라서 Amazon ECR 리포지토리의 이미지에 액세스할 수 있는 권한을 인스턴스에 제공해야 합니다. 이렇게 하려면 AmazonEC2ContainerRegistryReadOnly 관리형 정책을 인스턴스 프로파일에 연결하여 환경의 인스턴스 프로파일에 권한을 추가합니다. 이렇게 하면 계정의 모든 Amazon ECR 리포지토리에 대한 읽기 전용 액세스 권한이 제공됩니다. 또한 다음 템플릿을 사용해서 사용자 지정 정책을 생성하여 단일 리포지토리에만 액세스할 수 있는 옵션도 있습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowEbAuth",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowPull",
"Effect": "Allow",
"Resource": [
"arn:aws:ecr:us-east-2:account-id:repository/repository-name"
],
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:GetRepositoryPolicy",
"ecr:DescribeRepositories",
"ecr:ListImages",
"ecr:BatchGetImage"
]
}
]
}위 정책의 Amazon 리소스 이름(ARN)을 리포지토리의 ARN으로 바꿉니다.
Dockerrun.aws.json 파일에 이미지 정보를 지정해야 합니다. 구성은 사용하는 플랫폼에 따라 달라집니다.
ECS 관리형 Docker 플랫폼의 경우, 컨테이너 정의 객체 에서 image 키를 사용합니다.
"containerDefinitions": [
{
"name": "my-image",
"image": "account-id.dkr.ecr.us-east-2.amazonaws.com/repository-name:latest",Docker 플랫폼의 경우 URL별 이미지를 참조하세요. URL은 Dockerrun.aws.json 파일의 Image 정의에 포함됩니다.
"Image": {
"Name": "account-id.dkr.ecr.us-east-2.amazonaws.com/repository-name:latest",
"Update": "true"
},AWS Systems Manager(SSM) 파라미터 스토어 사용
배포 프로세스를 시작하기 전에 프라이빗 리포지토리에 로그인하도록 Elastic Beanstalk를 구성할 수 있습니다. 이렇게 하면 Elastic Beanstalk에서 리포지토리의 이미지에 액세스하여 해당 이미지를 Elastic Beanstalk 환경에 배포할 수 있습니다.
이 구성은 Elastic Beanstalk 배포 프로세스의 미리 빌드 단계에서 이벤트를 시작합니다. 이는 .ebextentions 구성 디렉터리에서 설정합니다. 이 구성은 프라이빗 리포지토리를 호스팅하는 온라인 레지스트리로 인증하기 위해 docker login을 호출하는 플랫폼 후크 스크립트를 사용합니다. 이러한 구성 단계에 대한 자세한 분석은 다음과 같습니다.
AWS SSM을 사용하여 프라이빗 리포지토리로 인증하도록 Elastic Beanstalk를 구성하려면
참고
이 단계를 완료하려면 AWS Systems Manager를 설정해야 합니다. 자세한 내용은 AWS Systems Manager 사용 설명서를 참조하세요.
-
다음과 같이
.ebextensions디렉터리 구조를 생성합니다.├── .ebextensions │ └── env.config ├── .platform │ ├── confighooks │ │ └── prebuild │ │ └── 01login.sh │ └── hooks │ └── prebuild │ └── 01login.sh ├── docker-compose.yml -
필요한 경우 Elastic Beanstalk에서 자격 증명을 검색할 수 있도록 AWS Systems Manager 파라미터 스토어를 사용하여 프라이빗 리포지토리의 자격 증명을 저장합니다. 이렇게 하려면 put-parameter 명령을 실행합니다.
aws ssm put-parameter --name USER --type String --value "username" aws ssm put-parameter --name PASSWD --type String --value "passwd" -
다음
env.config파일을 생성하여 이전 디렉터리 구조에 표시된 대로.ebextensions디렉터리에 배치합니다. 이 구성은 aws:elasticbeanstalk:application:environment 네임스페이스를 사용하여USER및PASSWDElastic Beanstalk 환경 변수를 SSM Parameter Store의 값으로 초기화합니다.참고
스크립트에서
USER및PASSWD는 이전 ssm put-parameter 명령에서 사용된 문자열과 일치해야 합니다.option_settings: aws:elasticbeanstalk:application:environment: USER: '{{resolve:ssm:USER:1}}' PASSWD: '{{resolve:ssm:PASSWD:1}}' -
다음
01login.sh스크립트 파일을 생성하여 다음 디렉터리에 배치합니다(이전 디렉터리 구조에도 표시됨).-
.platform/confighooks/prebuild -
.platform/hooks/prebuild
### example 01login.sh #!/bin/bash USER=/opt/elasticbeanstalk/bin/get-config environment -k USER /opt/elasticbeanstalk/bin/get-config environment -k PASSWD | docker login -u $USER --password-stdin01login.sh스크립트는 get-config 플랫폼 스크립트를 호출하여 리포지토리 보안 인증 정보를 검색합니다. 스크립트는 사용자 이름을USER변수에 저장합니다. 다음 줄에서는 암호를 검색합니다. 암호를 변수에 저장하는 대신 스크립트는 암호를stdin입력 스트림의 docker login 명령에 직접 연결합니다. 이--password-stdin옵션은 입력 스트림을 사용하기 때문에 암호를 변수에 저장할 필요가 없습니다. 도커 명령줄 인터페이스를 사용한 인증에 대한 자세한 내용은 도커 설명서 웹 사이트의 도커 로그인을 참조하세요. 참고
-
모든 스크립트 파일에 실행 권한이 있어야 합니다. 후크 파일에 대한 실행 권한을 설정하려면 chmod +x를 사용합니다. 2022년 4월 29일 이후에 릴리스된 모든 Amazon Linux 2 기반 플랫폼 버전의 경우 Elastic Beanstalk가 모든 플랫폼 후크 스크립트에 실행 권한을 자동으로 부여합니다. 이 경우 실행 권한을 수동으로 부여할 필요가 없습니다. 이러한 플랫폼 버전 목록은 AWS Elastic Beanstalk 릴리스 정보의 2022년 4월 29일 - Linux 플랫폼 릴리스 정보를 참조하세요.
-
후크 파일은 이진 파일 또는 해당 인터프리터 경로를 포함하는 #! 줄(#!/bin/bash)로 시작하는 스크립트 파일일 수 있습니다.
-
자세한 내용은 Elastic Beanstalk Linux 플랫폼 확장의 플랫폼 후크 단원을 참조하십시오.
-
Elastic Beanstalk가 프라이빗 리포지토리를 호스팅하는 온라인 레지스트리로 인증하면 이미지를 배포하고 가져올 수 있습니다.
Dockerrun.aws.json 파일 사용
이 섹션에서는 프라이빗 리포지토리로 Elastic Beanstalk를 인증하는 또 다른 접근 방식에 대해 설명합니다. 이 접근 방식을 사용하면 도커 명령을 사용하여 인증 파일을 생성 한 다음 인증 파일을 Amazon S3 버킷에 업로드합니다. 또한 Dockerrun.aws.json 파일에 버킷 정보를 포함해야 합니다.
Elastic Beanstalk에 인증 파일을 생성하고 제공하려면
-
docker login 명령으로 인증 파일을 생성합니다. 도커 허브의 리포지토리의 경우, docker login을 실행합니다:
$docker login다른 레지스트리의 경우, 레지스트리 서버의 URL을 포함시킵니다:
$docker loginregistry-server-url참고
Elastic Beanstalk 환경에서 Amazon Linux AMI 도커 플랫폼 버전(이전 Amazon Linux 2)을 사용하는 경우 Amazon Linux AMI(이전 Amazon Linux 2)에서 Docker 구성의 관련 정보를 읽어 보십시오.
인증 파일에 대한 자세한 내용은 도커 허브에서의 이미지 저장
과 도커 웹 사이트의 docker login 을 참조하십시오. -
이름이
.dockercfg인 인증 파일의 복사본을 안전한 Amazon S3 버킷에 업로드합니다.-
Amazon S3 버킷은 이를 사용 중인 환경과 동일한 AWS 리전에 호스팅되어야 합니다. Elastic Beanstalk는 다른 리전에 호스팅된 Amazon S3 버킷에서 파일을 다운로드할 수 없습니다.
-
인스턴스 프로파일의 IAM 역할에
s3:GetObject작업에 대한 권한을 부여합니다. 자세한 내용은 Elastic Beanstalk 인스턴스 프로파일 관리 섹션을 참조하세요.
-
-
Authentication파일의Dockerrun.aws.json파라미터에 Amazon S3 버킷 정보를 포함합니다.다음 예제는
mydockercfg버킷에 있는 인증 파일amzn-s3-demo-bucket를 사용하여 타사 레지스트리에서 프라이빗 이미지를 사용하는 방법을 보여줍니다.AWSEBDockerrunVersion에 대한 올바른 버전 번호는 예제 뒤의 참고 사항을 참조하세요.{ "AWSEBDockerrunVersion": "version-no", "Authentication": { "Bucket": "amzn-s3-demo-bucket", "Key": "mydockercfg" }, "Image": { "Name": "quay.io/johndoe/private-image", "Update": "true" }, "Ports": [ { "ContainerPort": "1234" } ], "Volumes": [ { "HostDirectory": "/var/app/mydb", "ContainerDirectory": "/etc/mysql" } ], "Logging": "/var/log/nginx" }Dockerrun.aws.json 버전
AWSEBDockerrunVersion파라미터는Dockerrun.aws.json파일의 버전을 나타냅니다.-
Docker AL2 및 AL2023 플랫폼은 다음과 같은 버전의 파일을 사용합니다.
Dockerrun.aws.json v3- Docker Compose를 사용하는 환경.
Dockerrun.aws.json v1- Docker Compose를 사용하지 않는 환경.
-
Amazon Linux 2에서 실행되는 ECS 및 AL2023에서 실행되는 ECS는
Dockerrun.aws.json v2파일을 사용합니다. 사용 중지된 플랫폼인 ECS-다중 컨테이너 Docker Amazon Linux AMI(AL1)도 동일한 버전을 사용했습니다.
-
Elastic Beanstalk가 프라이빗 리포지토리를 호스팅하는 온라인 레지스트리로 인증하면 이미지를 배포하고 가져올 수 있습니다.
