• 지원되는 컨테이너 레지스트리
• 지원되는 이미지 형식
• 지원되는 저장소
  • Docker
  • OCI 아티팩트를 지원하는 레지스트리
• 컨테이너 레지스트리 복제 구성
  • 주요 사이트 구성
  • 보조 사이트 구성
  • 복제 검증
• 문제 해결
  • 컨테이너 레지스트리 복제가 활성화되었는지 확인
  • 컨테이너 레지스트리 알림 이벤트 누락
  • 레지스트리 이벤트 로그의 응답 상태 401 Unauthorized unaccepted
    • 레지스트리 오류: token from untrusted issuer: "<token>"
  • 컨테이너 레지스트리 동기화 이벤트를 수동으로 트리거하기

보조 사이트용 컨테이너 레지스트리

주요 Geo 사이트의 컨테이너 레지스트리를 반영하는 보조 Geo 사이트에 컨테이너 레지스트리를 설정할 수 있습니다.

지원되는 컨테이너 레지스트리

Geo는 다음 유형의 컨테이너 레지스트리를 지원합니다:

• Docker
• OCI

지원되는 이미지 형식

다음 컨테이너 이미지 형식은 Geo에서 지원됩니다:

• Docker V2, 스키마 1
• Docker V2, 스키마 2
• OCI (Open Container Initiative)

또한, Geo는 BuildKit 캐시 이미지도 지원합니다.

지원되는 저장소

Docker

지원되는 레지스트리 저장소 드라이버에 대한 자세한 정보는 Docker 레지스트리 저장소 드라이버를 참조하십시오.

레지스트리를 배포할 때 로드 밸런싱 고려 사항 및 GitLab 통합 컨테이너 레지스트리용 스토리지 드라이버 설정에 대한 정보를 읽으십시오.

OCI 아티팩트를 지원하는 레지스트리

다음 레지스트리가 OCI 아티팩트를 지원합니다:

• CNCF Distribution - 로컬/오프라인 검증
• Azure Container Registry (ACR)
• Amazon Elastic Container Registry (ECR)
• Google Artifact Registry (GAR)
• GitHub Packages 컨테이너 레지스트리 (GHCR)
• 번들 바

자세한 내용은 OCI 분배 사양을 참조하십시오.

컨테이너 레지스트리 복제 구성

저장소에 대한 복제를 활성화하여 클라우드 또는 로컬 저장소에 사용할 수 있습니다. 주요 사이트에 새 이미지가 푸시될 때마다 각 보조 사이트는 자체 컨테이너 리포지토리에 해당 이미지를 풀어옵니다.

컨테이너 레지스트리 복제를 구성하려면:

1. 주요 사이트를 구성합니다.
2. 보조 사이트를 구성합니다.
3. 컨테이너 레지스트리 복제 확인을 수행합니다.

주요 사이트 구성

다음 단계를 진행하기 전에 주요 사이트에 컨테이너 레지스트리가 설정되어 작동 중인지 확인하십시오.

새 컨테이너 이미지를 복제하려면 컨테이너 레지스트리가 모든 푸시에 대한 알림 이벤트를 주요 사이트에게 보내야 합니다. 컨테이너 레지스트리와 주요 사이트의 웹 노드 간 통신을 보다 안전하게 하기 위해 토큰이 공유됩니다.

1. GitLab 주요 서버에 SSH로 로그인하여 root로 전환합니다 (GitLab HA의 경우, 레지스트리 노드만 필요합니다):

   sudo -i
   

2. /etc/gitlab/gitlab.rb을 편집합니다:

   registry['notifications'] = [
     {
       'name' => 'geo_event',
       'url' => 'https://<example.com>/api/v4/container_registry_event/events',
       'timeout' => '500ms',
       'threshold' => 5,
       'backoff' => '1s',
       'headers' => {
         'Authorization' => ['<replace_with_a_secret_token>']
       }
     }
   ]
   

   참고: <example.com>을 주요 사이트의 /etc/gitlab/gitlab.rb 파일에서 정의된 external_url로 바꾸고, <replace_with_a_secret_token>을 문자로 시작하는 대소문자와 숫자 조합의 알파벳숫자 문자열로 대체합니다. 이것은 < /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c 32 | sed "s/^[0-9]*//"; echo로 생성할 수 있습니다.

   참고: GitLab과 통합되지 않은 외부 레지스트리를 사용하는 경우, /etc/gitlab/gitlab.rb 파일에서 registry['notification_secret']를 지정하는 것만 필요합니다.

3. GitLab HA의 경우에만 해당됩니다. 모든 웹 노드의 /etc/gitlab/gitlab.rb을 편집합니다:

   registry['notification_secret'] = '<위에서 생성된_비밀_토큰으로_대체>'
   

4. 방금 업데이트한 각 노드를 다시 구성합니다:

   gitlab-ctl reconfigure
   

보조 사이트 구성

다음 단계를 진행하기 전에 보조 사이트에 컨테이너 레지스트리가 설정되어 작동 중인지 확인하십시오.

컨테이너 이미지를 복제하기 위해 각 보조 사이트에서 수행해야 하는 작업은 다음과 같습니다.

주의: 보조 사이트는 주요 사이트 컨테이너 레지스트리와 안전하게 통신하기 위해 모든 사이트에 대한 단일 키 쌍이 필요합니다. 보조 사이트는 이 키를 사용하여 주요 사이트 컨테이너 레지스트리에 액세스하기 위해 pull 전용이 가능한 단명한 JWT를 생성합니다.

각 응용 프로그램과 보조 사이트의 Sidekiq 노드마다:

1. 노드에 SSH로 로그인하여 root 사용자로 전환합니다:

   sudo -i
   

2. 주요 사이트에서 /var/opt/gitlab/gitlab-rails/etc/gitlab-registry.key를 노드로 복사합니다.

3. /etc/gitlab/gitlab.rb을 편집하고 다음을 추가합니다:

   gitlab_rails['geo_registry_replication_enabled'] = true
   
   # 주요 레지스트리의 호스트명과 포트, 이 정보는 보조 노드가 주요 레지스트리에 직접 통신하는 데 사용됩니다
   gitlab_rails['geo_registry_replication_primary_api_url'] = 'https://primary.example.com:5050/'
   

4. 변경 사항이 적용되도록 노드를 다시 구성합니다:

   gitlab-ctl reconfigure
   

복제 검증

컨테이너 레지스트리 복제가 작동하는지 확인하려면 secondary 사이트에서 다음을 수행하세요:

1. 좌측 사이드바에서 아래쪽으로 이동하여 관리자 영역(Admin Area)를 선택합니다.
2. Geo > 노드(Nodes)를 선택합니다. 초기 복제 또는 “백필(fillback)”이 아직 진행 중일 수 있습니다.

브라우저에서 primary 사이트의 Geo 노드(Geo Nodes) 대시보드에서 각 Geo 사이트의 동기화 프로세스를 모니터링할 수 있습니다.

문제 해결

컨테이너 레지스트리 복제가 활성화되었는지 확인

이 작업은 Rails 콘솔을 사용하여 체크할 수 있습니다.

Geo::ContainerRepositoryRegistry.replication_enabled?

컨테이너 레지스트리 알림 이벤트 누락

1. 주 사이트의 컨테이너 레지스트리에 이미지를 푸시하면 컨테이너 레지스트리 알림이 트리거되어야 합니다.
2. 주 사이트의 컨테이너 레지스트리는 주 사이트의 API인 https://<example.com>/api/v4/container_registry_event/events로 호출합니다.
3. 주 사이트는 geo_events 테이블에 replicable_name: 'container_repository', model_record_id: <컨테이너 레지스트리의 ID> 레코드를 삽입합니다.
4. 레코드는 PostgreSQL에 의해 보조 사이트의 데이터베이스로 복제됩니다.
5. Geo 로그 커서 서비스가 새 이벤트를 처리하고 Sidekiq 작업 Geo::EventWorker를 enqueue합니다.

이 작업이 올바르게 작동하는지 확인하려면 주 사이트의 레지스트리에 이미지를 푸시하고, Rails 콘솔에서 다음 명령을 실행하여 알림이 수신되었는지 확인하세요.

Geo::Event.where(replicable_name: 'container_repository')

또한 Geo::ContainerRepositorySyncService에서의 geo.log 항목을 확인하여 더 확인할 수 있습니다.

레지스트리 이벤트 로그의 응답 상태 401 Unauthorized unaccepted

401 Unauthorized 오류는 주 사이트의 컨테이너 레지스트리 알림이 Rails 애플리케이션에 의해 수락되지 않아 GitLab에게 무언가가 푸시되었음을 알릴 수 없음을 나타냅니다.

이를 수정하려면 레지스트리 알림과 함께 전송되는 인가 헤더가 주 사이트에서 구성된 것과 일치함을 확인하십시오. 이는 단계 주 사이트 구성 중에 수행되어야 합니다.

레지스트리 오류: token from untrusted issuer: "<token>"

컨테이너 이미지를 복제하려면, Sidekiq는 컨테이너 레지스트리에 대한 인증을 위해 JWT를 사용합니다. Geo 복제는 컨테이너 레지스트리 구성이 올바르게 수행되었음을 전제로 합니다.

각 사이트가 동일한 서명 키 쌍을 공유하도록 확인하고, 단계 보조 사이트 구성에 따라 특정되었습니다. 그리고 각 컨테이너 레지스트리, 주 사이트, 보조 사이트가 동일한 토큰 발급자를 사용하도록 구성되었는지 확인하십시오.

다중 노드 배포의 경우, Sidekiq 노드에서 구성된 발급자가 레지스트리에서 구성된 값과 일치하는지 확인하십시오.

컨테이너 레지스트리 동기화 이벤트를 수동으로 트리거하기

문제 해결을 위해, 보조 사이트의 Rails 콘솔에서 다음 명령을 실행하여 컨테이너 레지스트리 복제 프로세스를 수동으로 트리거할 수 있습니다.

registry = Geo::ContainerRepositoryRegistry.first # Geo 레지스트리 항목 선택
registry.replicator.sync_repository # 컨테이너 레지스트리 다시 동기화
pp registry.reload # 복제 상태 필드 확인

#<Geo::ContainerRepositoryRegistry:0x00007f54c2a36060
 id: 1,
 container_repository_id: 1,
 state: "2",
 retry_count: 0,
 last_sync_failure: nil,
 retry_at: nil,
 last_synced_at: Thu, 28 Sep 2023 19:38:05.823680000 UTC +00:00,
 created_at: Mon, 11 Sep 2023 15:38:06.262490000 UTC +00:00>

state 필드는 동기화 상태를 나타냅니다.

• "0": 보류 중인 동기화 (일반적으로 동기화되지 않았음을 나타냄)
• "1": 동기화 시작됨 (동기화 작업이 진행 중)
• "2": 성공적으로 동기화됨
• "3": 동기화 실패