소개
이 튜토리얼에서는 Docker 레지스트리 보안을 관리하여 Docker 배포를 보호하는 방법을 안내합니다. 인증서를 사용하여 Docker 레지스트리를 배포하고 보안하는 방법을 배우면서 컨테이너 기반 애플리케이션이 잠재적인 취약점으로부터 보호될 수 있습니다.
Docker 레지스트리 소개
Docker 레지스트리는 Docker 이미지를 저장하고 배포하는 중앙 저장소입니다. 개발자 및 조직이 Docker 컨테이너를 원활하게 관리, 공유 및 배포할 수 있도록 지원하여 Docker 생태계에서 중요한 역할을 수행합니다.
Docker 레지스트리 이해
Docker 레지스트리는 Docker 이미지를 저장하고 배포하는 역할을 합니다. 이러한 이미지는 Docker 컨테이너를 생성하고 실행하는 기반이 됩니다. 레지스트리는 공개 또는 개인 레지스트리로 구분되며, 이미지에 대한 액세스를 관리하고 제어하는 방법을 제공합니다.
공개 레지스트리 vs. 개인 레지스트리
- 공개 레지스트리: Docker Hub 와 같은 공개 레지스트리는 인터넷상의 누구나 액세스할 수 있습니다. 개발자는 애플리케이션의 시작점으로 사용할 수 있는 다양한 사전 구축된 이미지를 제공합니다.
- 개인 레지스트리: 개인 레지스트리는 조직 또는 팀에서 관리합니다. 사용자 정의 이미지를 저장하고 배포하여 Docker 생태계에 대한 보안 및 제어를 강화합니다.
Docker 레지스트리와의 상호 작용
개발자 및 관리자는 Docker CLI 를 사용하여 Docker 레지스트리와 상호 작용할 수 있습니다. 일반적인 작업은 다음과 같습니다.
- 이미지 가져오기: 로컬 환경에서 사용하기 위해 레지스트리에서 Docker 이미지를 가져옵니다.
docker pull ubuntu:latest- 이미지 푸시: 배포를 위해 자체 Docker 이미지를 레지스트리에 업로드합니다.
docker push myregistry.azurecr.io/my-app:v1.0- 이미지 검색: 레지스트리에서 사용 가능한 이미지를 검색합니다.
docker search nginxDocker 레지스트리의 역할과 사용법을 이해함으로써 Docker 배포를 효과적으로 관리하고 보안하여 안정적이고 확장 가능한 컨테이너 기반 인프라를 구축할 수 있습니다.
인증서를 사용한 Docker 레지스트리 보안
Docker 레지스트리를 보안하는 것은 Docker 생태계의 무결성과 기밀성을 보장하는 데 필수적입니다. Docker 레지스트리를 보안하는 효과적인 방법 중 하나는 SSL/TLS 인증서를 사용하는 것입니다.
SSL/TLS 인증서 생성
Docker 레지스트리를 보호하려면 유효한 SSL/TLS 인증서를 생성해야 합니다. 신뢰할 수 있는 인증 기관 (CA) 을 사용하거나 자체 서명된 인증서를 생성할 수 있습니다. Ubuntu 22.04 에서 OpenSSL 도구를 사용하는 예는 다음과 같습니다.
## 자체 서명된 인증서 생성
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodesDocker 레지스트리 구성
SSL/TLS 인증서를 생성한 후에는 Docker 레지스트리를 구성하여 이를 사용해야 합니다. 개인 Docker 레지스트리를 사용하는 경우 레지스트리 구성 파일 (일반적으로 /etc/docker/registry/config.yml에 위치) 을 다음 설정으로 업데이트할 수 있습니다.
version: 0.1
log:
fields:
service: registry
storage:
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
http:
addr: :5000
tls:
certificate: /path/to/cert.pem
key: /path/to/key.pemDocker 클라이언트 업데이트
Docker 클라이언트가 레지스트리에 안전하게 연결할 수 있도록 Docker 데몬 구성을 업데이트해야 합니다. Ubuntu 22.04 에서 /etc/docker/daemon.json 파일을 수정하여 이 작업을 수행할 수 있습니다.
{
"insecure-registries": [],
"registry-mirrors": [],
"tls-verify": true,
"tls-certs": ["/path/to/cert.pem"]
}이러한 변경 사항을 적용하려면 Docker 데몬을 다시 시작해야 합니다.
SSL/TLS 인증서를 사용하여 Docker 레지스트리를 보안하면 Docker 배포의 전반적인 보안을 강화하고 Docker 이미지의 기밀성과 무결성을 보장할 수 있습니다.
보안되지 않은 Docker 레지스트리 배포
SSL/TLS 인증서로 Docker 레지스트리를 보안하는 것이 권장되는 방법이지만, 보안되지 않은 Docker 레지스트리를 배포해야 하는 상황이 발생할 수 있습니다. 이는 개발, 테스트 단계 또는 인증서 관리가 어려운 특정 네트워크 환경에서 발생할 수 있습니다.
보안되지 않은 레지스트리를 위한 Docker 데몬 구성
Docker 클라이언트가 보안되지 않은 Docker 레지스트리에 연결할 수 있도록 Docker 데몬을 구성해야 합니다. Ubuntu 22.04 에서 /etc/docker/daemon.json 파일을 수정할 수 있습니다.
{
"insecure-registries": ["myregistry.example.com:5000"],
"registry-mirrors": [],
"tls-verify": false
}이 예제에서 myregistry.example.com:5000은 보안되지 않은 Docker 레지스트리의 URL 입니다. 변경 사항을 적용하려면 Docker 데몬을 다시 시작해야 합니다.
보안되지 않은 Docker 레지스트리 배포
보안되지 않은 Docker 레지스트리를 배포하려면 공식 Docker 레지스트리 이미지를 사용하고 SSL/TLS 없이 실행하도록 구성할 수 있습니다. Ubuntu 22.04 에서 Docker Compose 를 사용하는 예는 다음과 같습니다.
version: "3"
services:
registry:
image: registry:2
ports:
- "5000:5000"
environment:
REGISTRY_HTTP_ADDR: 0.0.0.0:5000
REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY: /data
volumes:
- registry-data:/data
volumes:
registry-data:이 파일을 docker-compose.yml로 저장하고 다음 명령어를 실행하여 보안되지 않은 Docker 레지스트리를 시작합니다.
docker-compose up -d보안되지 않은 레지스트리 연결
보안되지 않은 Docker 레지스트리가 실행되면 이제 Docker 클라이언트를 사용하여 레지스트리와 상호 작용할 수 있습니다. 예를 들어, 보안되지 않은 레지스트리에서 이미지를 가져오려면 다음과 같이 합니다.
docker pull myregistry.example.com:5000/my-app:v1.0보안되지 않은 Docker 레지스트리를 프로덕션 환경에서 사용하는 것은 권장되지 않습니다. Docker 생태계의 전체적인 보안을 위협하기 때문입니다. 신중하게 사용하고, trade-off 가 명확하게 이해되는 특정 상황에서만 사용해야 합니다.
요약
이 튜토리얼에서는 보안되지 않은 Docker 레지스트리를 관리하여 Docker 배포를 보호하는 방법을 배웠습니다. 보안되지 않은 Docker 레지스트리를 배포하고 인증서를 사용하여 보안하는 과정을 살펴보았습니다. 이러한 권장 사항을 따르면 컨테이너 기반 애플리케이션의 보안을 강화하고 보안되지 않은 Docker 레지스트리와 관련된 잠재적인 취약성으로부터 보호할 수 있습니다.
