• 지원되는 컨테이너 레지스트리
• 지원되는 이미지 형식
• 지원되는 리포지터리
  • Docker
  • OCI 아티팩트를 지원하는 레지스트리
• 컨테이너 레지스트리 복제 구성
  • 기본 사이트 구성
  • 보조 사이트 구성
  • 복제 확인
• 문제 해결
  • 컨테이너 레지스트리 복제가 활성화되었는지 확인
  • 컨테이너 레지스트리 알림 이벤트 누락
  • 레지스트리 이벤트 로그 응답 상태 401 Unauthorized unaccepted
    • 레지스트리 오류: token from untrusted issuer: "<token>"
  • 컨테이너 레지스트리 동기화 이벤트를 수동으로 트리거

보조 사이트용 컨테이너 레지스트리

보조 Geo 사이트에 기본 Geo 사이트와 동기화되는 컨테이너 레지스트리를 설정할 수 있습니다.

지원되는 컨테이너 레지스트리

Geo는 다음 유형의 컨테이너 레지스트리를 지원합니다:

• Docker
• OCI

지원되는 이미지 형식

다음 컨테이너 이미지 형식이 Geo에서 지원됩니다:

• Docker V2, 스키마 1
• Docker V2, 스키마 2
• OCI (Open Container Initiative)

또한, Geo는 BuildKit 캐시 이미지도 지원합니다.

지원되는 리포지터리

Docker

지원되는 레지스트리 리포지터리 드라이버에 대한 자세한 내용은 Docker 레지스트리 리포지터리 드라이버를 참조하세요.

레지스트리를 배포할 때 로드 밸런싱 고려 사항 및 GitLab 통합 컨테이너 레지스트리의 리포지터리 드라이버 설정 방법을 확인하세요.

OCI 아티팩트를 지원하는 레지스트리

다음 레지스트리에서는 OCI 아티팩트를 지원합니다:

• CNCF Distribution - 로컬/오프라인 검증
• Azure Container Registry (ACR)
• Amazon Elastic Container Registry (ECR)
• Google Artifact Registry (GAR)
• GitHub Packages 컨테이너 레지스트리 (GHCR)
• 번들 바

자세한 내용은 OCI Distribution Specification을 참조하세요.

컨테이너 레지스트리 복제 구성

리포지터리에 대한 복제를 활성화하여 클라우드 또는 로컬 리포지터리로 사용할 수 있습니다. 새 이미지가 기본 사이트에 푸시되면 각 보조 사이트는 해당 이미지를 자체 컨테이너 리포지터리로 가져옵니다.

컨테이너 레지스트리 복제 구성 방법:

1. 기본 사이트 구성
2. 보조 사이트 구성
3. 컨테이너 레지스트리 복제 확인.

기본 사이트 구성

다음 단계를 따르기 전에 기본 사이트에 컨테이너 레지스트리가 설정되어 작동 중인지 확인하세요.

새 컨테이너 이미지를 복제하려면 컨테이너 레지스트리가 모든 푸시에 대한 알림 이벤트를 기본 사이트에 전송해야 합니다. 기본과 웹 노드 간의 토큰은 통신을 보다 안전하게 하기 위해 사용됩니다.

1. GitLab 기본 서버에 SSH로 로그인하여 root로 전환합니다 (GitLab HA의 경우 레지스트리 노드만 필요합니다):

   sudo -i
   

2. /etc/gitlab/gitlab.rb을 편집합니다:

   registry['notifications'] = [
     {
       'name' => 'geo_event',
       'url' => 'https://<example.com>/api/v4/container_registry_event/events',
       'timeout' => '500ms',
       'threshold' => 5,
       'backoff' => '1s',
       'headers' => {
         'Authorization' => ['<replace_with_a_secret_token>']
       }
     }
   ]
   

   <example.com>을 기본 사이트의 /etc/gitlab/gitlab.rb 파일에서 정의된 external_url로 대체하고 <replace_with_a_secret_token>을 문자로 시작하는 알파벳 대소문자 및 숫자로 이루어진 길이가 32자인 암호로 대체합니다. < /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c 32 | sed "s/^[0-9]*//"; echo로 생성할 수 있습니다.
   GitLab과 통합되지 않은 외부 레지스트리를 사용하는 경우 /etc/gitlab/gitlab.rb 파일에서 registry['notification_secret']만 지정하면 됩니다.

3. GitLab HA의 경우. 각 웹 노드의 /etc/gitlab/gitlab.rb을 편집합니다:

   registry['notification_secret'] = '<replace_with_a_secret_token_generated_above>'
   

4. 방금 업데이트한 각 노드를 다시 구성합니다:

   gitlab-ctl reconfigure
   

보조 사이트 구성

다음 단계를 따르기 전에 보조 사이트에 컨테이너 레지스트리가 설정되어 작동 중인지 확인하세요.

다음 단계는 해당 컨테이너 이미지가 복제되기를 기대하는 각 보조 사이트에서 수행해야 합니다.

보조 사이트가 기본 사이트 컨테이너 레지스트리와 안전하게 통신할 수 있도록 하기 위해 각 사이트에 대한 단일 키 쌍이 필요합니다. 보조 사이트는 이 키를 사용하여 기본 사이트 컨테이너 레지스트리에 액세스할 수 있는 단기 JWT를 생성합니다.

각 보조 사이트의 애플리케이션 및 Sidekiq 노드에서:

1. 노드에 SSH로 로그인하여 root 사용자로 전환합니다:

   sudo -i
   

2. 기본 사이트의 /var/opt/gitlab/gitlab-rails/etc/gitlab-registry.key를 노드로 복사합니다.

3. /etc/gitlab/gitlab.rb을 편집하고 다음을 추가합니다:

   gitlab_rails['geo_registry_replication_enabled'] = true
      
   # 기본 레지스트리의 호스트명 및 포트, 이를 통해 보조 노드가 기본 레지스트리에 직접 통신합니다
   gitlab_rails['geo_registry_replication_primary_api_url'] = 'https://primary.example.com:5050/'
   

4. 변경 사항이 적용되도록 노드를 다시 구성합니다:

   gitlab-ctl reconfigure
   

복제 확인

컨테이너 레지스트리 복제가 작동하는지 확인하려면 보조 사이트에서:

1. 왼쪽 사이드바에서 아래쪽에 있는 관리 영역을 선택합니다.
2. Geo > 노드를 선택합니다. 초기 복제 또는 “백필”이 아직 진행 중일 것입니다.

각 Geo 사이트의 동기화 프로세스를 브라우저에서 기본 사이트의 Geo 노드 대시보드에서 모니터링할 수 있습니다.

문제 해결

컨테이너 레지스트리 복제가 활성화되었는지 확인

Rails 콘솔을 사용하여 다음 확인을 할 수 있습니다:

Geo::ContainerRepositoryRegistry.replication_enabled?

컨테이너 레지스트리 알림 이벤트 누락

1. 주 사이트의 컨테이너 레지스트리에 이미지가 푸시되면 컨테이너 레지스트리 알림이 작동해야 합니다.
2. 주 사이트의 컨테이너 레지스트리는 주 사이트의 API를 호출하여 https://<example.com>/api/v4/container_registry_event/events로 이동됩니다.
3. 주 사이트는 geo_events 테이블에 replicable_name: 'container_repository', model_record_id: <컨테이너 레지스트리의 ID>로 레코드를 삽입합니다.
4. 이 레코드는 PostgreSQL에 의해 보조 사이트의 데이터베이스로 복제됩니다.
5. Geo 로그 커서 서비스는 새 이벤트를 처리하고 Sidekiq 작업 Geo::EventWorker를 큐에 넣습니다.

이 작업이 올바르게 작동하는지 확인하려면 주 사이트의 레지스트리에 이미지를 푸시하고, Rails 콘솔에서 다음 명령을 실행하여 알림이 수신되었고 이벤트로 처리되었는지 확인할 수 있습니다:

Geo::Event.where(replicable_name: 'container_repository')

또한 Geo::ContainerRepositorySyncService에서 geo.log 항목을 확인하여 이를 추가로 확인할 수 있습니다.

레지스트리 이벤트 로그 응답 상태 401 Unauthorized unaccepted

401 Unauthorized 오류는 주 사이트의 컨테이너 레지스트리 알림이 Rails 애플리케이션에 의해 수락되지 않아 GitLab에 푸시된 사항을 알리지 못하는 것을 나타냅니다.

이를 해결하려면 레지스트리 알림과 함께 보내는 인증 헤더가 주 사이트에서 구성한 것과 일치하는지 확인하십시오. 이는 주 사이트 구성 단계에서 수행해야 합니다.

레지스트리 오류: token from untrusted issuer: "<token>"

컨테이너 이미지를 복제하기 위해 Sidekiq는 컨테이너 레지스트리로부터 인증을 위해 JWT를 사용합니다. Geo 복제에는 컨테이너 레지스트리 구성이 올바르게 완료되었을 것으로 전제됩니다.

Sidekiq 노드에 구성된 발급자가 레지스트리에 구성된 값과 일치하는지 확인하고, 양쪽 컨테이너 레지스트리 및 주/보조 사이트가 동일한 토큰 발급자를 사용하도록 구성되어 있는지 확인하십시오.

멀티노드 배포의 경우, Sidekiq 노드에서 구성된 발급자가 레지스트리에서 구성된 값과 일치하는지 확인하십시오.

컨테이너 레지스트리 동기화 이벤트를 수동으로 트리거

문제 해결을 위해 보조 사이트의 Rails 콘솔에서 다음 명령을 실행하여 컨테이너 레지스트리 복제 과정을 수동으로 트리거할 수 있습니다:

registry = Geo::ContainerRepositoryRegistry.first # Geo 레지스트리 항목 선택
registry.replicator.sync_repository # 컨테이너 레지스트리 재동기화
pp registry.reload # 복제 상태 필드 확인

#<Geo::ContainerRepositoryRegistry:0x00007f54c2a36060
 id: 1,
 container_repository_id: 1,
 state: "2",
 retry_count: 0,
 last_sync_failure: nil,
 retry_at: nil,
 last_synced_at: Thu, 28 Sep 2023 19:38:05.823680000 UTC +00:00,
 created_at: Mon, 11 Sep 2023 15:38:06.262490000 UTC +00:00>

state 필드는 동기화 상태를 나타냅니다:

• "0": 동기화 대기(일반적으로 이전에 동기화되지 않은 것을 의미함)
• "1": 동기화 시작(동기화 작업이 진행 중임)
• "2": 성공적으로 동기화됨
• "3": 동기화 실패