OCI Registry: Container Image 등록 및 안전한 배포

by Velucid ⏲ June 09, 2021

Topics

OCI OKE(Oracle Kubernetes Engine) 따라하기

주요 내용 요약
Kubernetes 아키텍처 및 주요 기능
OCI OKE 운영을 위한 기본 환경 구성
OCI OKE에 애플리케이션 배포하기
- OCI Registry: Container Image 등록 및 안전한 배포
- MongoDB 기반 방명록(PHP) 애플리케이션 배포
- NEW ML 분석 : Zeppelin/PySpark 구성 및 배포
- NEW ML 분석 : Zeppelin/PySpark 기반 적립카드 발급 대상 분석
- TBD : OCI Block Volume을 통한 Persistent Volume 구축
- TBD : OCI Autonomous Database와의 안전한 연결 구축

내용 설명

외부의 Docker Hub에서 Docker 이미지를 다운받아, OCI Registry의 Repository에 등록하고, 이를 안전하게 OCI내에서 OKE Cluster에서 사용하는 과정을 보여 줍니다.

Docker 공식 이미지인 karthequian/helloworld를 다운 받아 OCI Repository(helloword)에 등록합니다.

1) OCI Auth Token 생성

Kubernetes에서 OCI Registry에 접속하기 위한 Auth Token(Password)을 생성하고 등록합니다.

OCI Console > Profile (우측 상단) > User Settings 클릭 ✔️
왼쪽 하단의 Auth Tokens 메뉴 > Generate Token 클릭 ✔️

Generate Token

Description 입력 > Generate Token 클릭 ✔️

Generate Token

생성된 Auth Token(Password)를 저장: 다시 복사 불가능하므로 반드시 안전한 장소에 저장 필요

Generate Token

2) OCI Repository 생성

"helloworld"라는 이름으로 OCI Repository를 생성합니다.

OCI Console > 🍔 Menu > Developer Services > Container Registry
Create Registry 클릭

OCI Registry

Repository 생성
- Repository 이름 : helloworld
- Access : Private

Create Repository

생성된 Repository 확인

Repository Result

3) Bastion 서버에 Docker 설치

yum 설정 : ol7_latest, ol7_uekr4 and ol7_addons 활성화


[opc@k8s-manager ~]$ sudo su -
# cd /etc/yum.repos.d/
# wget http://yum.oracle.com/public-yum-ol7.repo

Docker 설치


xxxxxxxxxx
# yum install docker-engine

Docker service 활성화


xxxxxxxxxx
# systemctl start docker
# systemctl enable docker
# systemctl status docker
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: active (running) since Tue 2021-04-27 12:41:48 GMT; 22s ago
...

opc 사용자를 docker group으로 추가


xxxxxxxxxx
[opc@k8s-manager ~]$ sudo usermod -aG docker opc

SSH 재접속
group 적용 확인


xxxxxxxxxx
[opc@k8s-manager ~]$ id
uid=1000(opc) gid=1000(opc) groups=1000(opc),4(adm),10(wheel),190(systemd-journal),992(docker) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

4) Docker image download

Docker 이미지, karthequian/helloworld:latest 다운로드


xxxxxxxxxx
[opc@k8s-manager ~]$ docker pull karthequian/helloworld:latest
Trying to pull repository docker.io/karthequian/helloworld ...
latest: Pulling from docker.io/karthequian/helloworld
83ee3a23efb7: Pull complete
db98fc6f11f0: Pull complete
f611acd52c6c: Pull complete
ce6148ee5b27: Pull complete
f41d580b4c45: Pull complete
272afdecd73d: Pull complete
603e831d3bf2: Pull complete
4b3f00fe862f: Pull complete
1813c5daf2e4: Pull complete
4db7ca47ea28: Pull complete
37d652721feb: Pull complete
e9bce6aacaff: Pull complete
50da342c2533: Pull complete
Digest: sha256:48413fdddeae11e4732896e49b6d82979847955666ed95e4d6e57b433920c9e1
Status: Downloaded newer image for karthequian/helloworld:latest
karthequian/helloworld:latest

다운로드된 docker image 확인


xxxxxxxxxx
[opc@k8s-manager ~]$ docker images
REPOSITORY               TAG                 IMAGE ID            CREATED             SIZE
karthequian/helloworld   latest              a0d8db65e6fb        3 months ago        227MB
[opc@k8s-manager ~]$ docker image inspect karthequian/helloworld | grep -A 1 Layers | grep sha256
    "sha256:9f32931c9d28f10104a8eb1330954ba90e76d92b02c5256521ba864feec14009",
[opc@k8s-manager ~]$
[opc@k8s-manager ~]$ sudo ls -l /var/lib/docker/image/overlay2/layerdb/sha256 | grep 4009
9f32931c9d28f10104a8eb1330954ba90e76d92b02c5256521ba864feec14009

5) OCI Registry 로그인

Seoul 리전의 OCIR endpoints 이름 확인
- https://docs.oracle.com/en-us/iaas/Content/Registry/Concepts/registryprerequisites.htm#Availab
- Seoul 리전 : icn.ocir.io
Seoul 리전의 OCIR에 영구 로그인
- Username
  - OCI user : <tenancy>/<username>
  - IDCS user : <tenancy>/oracleidentitycloudservice/<username>
- Password : <OCI Auth Token>


x
[opc@k8s-manager ~]$ docker login icn.ocir.io
Username: <tenancy>/oracleidentitycloudservice/<username>
Password: ********
WARNING! Your password will be stored unencrypted in /home/opc/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
[opc@k8s-manager ~]$

6) OCIR로의 image 업로드

ocir 전용 image tag 생성
- OCIR image name 규칙: <region>.ocir.io/<namespace>/<image name>/<tag>
  - <namespace> = <tenancy name>
  - <image name> = <ocir repository name>


xxxxxxxxxx
$ docker tag karthequian/helloworld:latest icn.ocir.io/<tenency>/helloworld:latest


xxxxxxxxxx
$ docker images
REPOSITORY                           TAG                 IMAGE ID            CREATED             SIZE
karthequian/helloworld               latest              a0d8db65e6fb        3 months ago        227MB
icn.ocir.io/<tenency>/helloworld   latest              a0d8db65e6fb        3 months ago        227MB

OCI Repository에 이미지 업로드


xxxxxxxxxx
[opc@k8s-manager ~]$ docker push icn.ocir.io/<tenancy>/helloworld:latest
The push refers to repository [icn.ocir.io/<tenancy>/helloworld]
e790d2968402: Pushed
9988350afb63: Pushed
d178243a0617: Pushed
8865d8e83073: Pushed
63f60cac95f0: Pushed
6967353de304: Pushed
89c0daa71499: Pushed
2f60cf94f33d: Pushed
ebb24b834d91: Pushed
689fb57937fb: Pushed
02473afd360b: Pushed
dbf2c0f42a39: Pushed
9f32931c9d28: Pushed
latest: digest: sha256:48413fdddeae11e4732896e49b6d82979847955666ed95e4d6e57b433920c9e1 size: 3029

Note: Docker Enterprise Edition에서는 docker CLI를 통해 Registry의 내용도 확인 가능
$ docker registry ls

OCI Repository에 등록된 이미지 확인

OCIR helloworld

7) Secret 생성 - OCIR과 K8S 연결

Kubernetes Secret 생성 명령어


xxxxxxxxxx
$ kubectl create secret docker-registry <secret-name> --docker-server=<region-key>.ocir.io --docker-username='<tenancy-namespace>/<oci-username>' --docker-password='<oci-auth-token>' --docker-email='<email-address>'

Secret (ocir-icn-secret) 생성


xxxxxxxxxx
[opc@k8s-manager ~]$ kubectl create secret docker-registry ocir-icn-secret --docker-server=icn.ocir.io --docker-username='<tenancy>/oracleidentitycloudservice/velucid@acme.com' --docker-password='k]j64r{1sJSSF-;)K8'
--docker-email='velucid@acme.com'
secret/ocir-icn-secret created

Secret 생성 확인


xxxxxxxxxx
[opc@k8s-manager ~]$ kubectl get secrets
NAME                  TYPE                                  DATA   AGE
default-token-x9xxl   kubernetes.io/service-account-token   3      11d
ocir-icn-secret       kubernetes.io/dockerconfigjson        1      11m

8) OCIR를 통해 애플리케이션 배포 및 테스트

ocirsectet을 통해 helloworld 이미지를 배포하는 Deployment 파일을 생성


xxxxxxxxxx
$ cat helloworld-deplyment.yaml


xxxxxxxxxx
apiVersion: apps/v1
kind: Deployment
metadata:
  name: helloworld
spec:
  selector:
    matchLabels:
      app: helloworld
  replicas: 1
  template:
    metadata:
      labels:
        app: helloworld
    spec:
      containers:
      - name: helloworld
        image: icn.ocir.io/<tenancy-namespace>/helloworld:latest
        ports:
        - containerPort: 80
      imagePullSecrets:
      - name: ocir-icn-secret

Helloworld 애플리케이션 배포


xxxxxxxxxx
$ kubectl create -f helloworld-deplyment.yaml
deployment.apps/helloworld created

배포된 Pod 확인


xxxxxxxxxx
$ kubectl get pod -l app=helloworld
NAME                          READY   STATUS    RESTARTS   AGE
helloworld-85cfcf4757-qxz8b   1/1     Running   0          83s

Helloworld Pod로 접속


xxxxxxxxxx
$ kubectl exec -it helloworld-85cfcf4757-qxz8b -- bash
root@helloworld-85cfcf4757-qxz8b:/#

curl 설치


xxxxxxxxxx
root@helloworld-85cfcf4757-qxz8b:/# apt-get update
root@helloworld-85cfcf4757-qxz8b:/# apt-get install curl

helloworld 페이지 테스트


xxxxxxxxxx
root@helloworld-85cfcf4757-qxz8b:/# curl http://localhost:80
<html>
<head>
...
<body  onload="updateVisit(); updateClock(); setInterval('updateClock()', 1000 )">
...
      <div class="jumbotron">
        <h1>Hello</h1>
        <p>Is it me you're looking for?</p>
      </div>
...
</body>
</html>
root@helloworld-85cfcf4757-qxz8b:/#

참고: 실제 페이지 화면

Helloworld Page

참고 자료
OCI Tutorial : Push an Image to Oracle Cloud Infrastructure Registry
Oracle Blog : Install Docker on Oracle Linux 7