- 범위
- GitLab 배포 토큰
- 배포 토큰 생성
- 배포 토큰 폐기
- 저장소 복제
- 컨테이너 레지스트리에서 이미지 가져오기
- 컨테이너 레지스트리에 이미지 푸시
- 패키지 레지스트리에서 패키지 가져오기
- 패키지 레지스트리에 패키지 푸시
- 종속성 프록시에서 이미지 가져오기
배포 토큰
사용자 계정과 독립적으로 배포 작업의 인증을 활성화하기 위해 배포 토큰을 사용할 수 있습니다. 대부분의 경우, 빌드 서버나 CI/CD 서버와 같은 외부 호스트에서 배포 토큰을 사용합니다.
배포 토큰을 사용하면 자동화된 작업이 다음을 수행할 수 있습니다:
- Git 저장소 복제
- GitLab 컨테이너 레지스트리에서 풀 및 푸시
- GitLab 패키지 레지스트리에서 풀 및 푸시
배포 토큰은 두 가지 값입니다:
-
username: HTTP 인증 프레임워크에서의
username. 기본 username 형식은gitlab+deploy-token-{n}입니다. 배포 토큰을 생성할 때 사용자 정의 username을 지정할 수 있습니다. -
token: HTTP 인증 프레임워크에서의
password.
배포 토큰은 SSH 인증을 지원하지 않습니다.
배포 토큰은 다음 엔드포인트에 대해 HTTP 인증으로 사용할 수 있습니다:
- GitLab 패키지 레지스트리 공개 API
- Git 명령어
프로젝트 또는 그룹 레벨에서 배포 토큰을 생성할 수 있습니다:
- 프로젝트 배포 토큰: 권한은 해당 프로젝트에만 적용됩니다.
- 그룹 배포 토큰: 권한은 그룹 내 모든 프로젝트에 적용됩니다.
기본적으로, 배포 토큰에는 만료 기간이 없습니다. 선택적으로 만료일을 설정할 수 있습니다. 만료는 해당 날짜의 UTC 자정에 발생합니다.
경고: 외부 인증이 활성화된 경우, 새로운 또는 기존의 배포 토큰을 사용하여 Git 작업 및 패키지 레지스트리 작업을 할 수 없습니다.
범위
배포 토큰의 범위는 수행할 수 있는 작업을 결정합니다.
| 범위 | 설명 |
|---|---|
read_repository
|
git clone을 사용하여 저장소에 대해 읽기 전용 액세스
|
read_registry
| 프로젝트의 컨테이너 레지스트리에 있는 이미지를 읽기 전용 액세스 |
write_registry
| 프로젝트의 컨테이너 레지스트리에 쓰기 액세스(푸시). 이미지를 푸시하려면 읽기 및 쓰기 액세스가 필요합니다. |
read_package_registry
| 프로젝트의 패키지 레지스트리에 대해 읽기 전용 액세스 |
write_package_registry
| 프로젝트의 패키지 레지스트리에 대해 쓰기 액세스 |
GitLab 배포 토큰
- GitLab 15.1에서
gitlab-deploy-token을 그룹 레벨에서 지원합니다. 기본적으로ci_variable_for_group_gitlab_deploy_token이라는 플래그가 필요합니다.- GitLab 15.4에서 기능 플래그
ci_variable_for_group_gitlab_deploy_token이 제거되었습니다.
GitLab 배포 토큰은 특별한 유형의 배포 토큰입니다. gitlab-deploy-token이라는 이름의 배포 토큰을 생성하면 해당 배포 토큰이 자동으로 프로젝트 CI/CD 작업에 변수로 노출됩니다:
-
CI_DEPLOY_USER: Username -
CI_DEPLOY_PASSWORD: Token
예를 들어, GitLab 컨테이너 레지스트리에 로그인하기 위해 GitLab 토큰을 사용하려면:
echo "$CI_DEPLOY_PASSWORD" | docker login $CI_REGISTRY -u $CI_DEPLOY_USER --password-stdin
참고:
GitLab 15.0 이전 버전에서는 gitlab-deploy-token 배포 토큰에 대한 특별한 처리가 그룹 배포 토큰에서 작동하지 않습니다. 그룹 배포 토큰을 CI/CD 작업에서 사용하려면, 설정 > CI/CD > 변수에서 그룹 배포 토큰의 이름과 토큰을 CI_DEPLOY_USER 및 CI_DEPLOY_PASSWORD CI/CD 변수에 설정해야 합니다.
gitlab-deploy-token이 그룹에 정의되면, CI_DEPLOY_USER와 CI_DEPLOY_PASSWORD CI/CD 변수는 해당 그룹의 즉시 하위 프로젝트에서만 사용할 수 있습니다.
GitLab 배포 토큰 보안
GitLab 배포 토큰은 오랫동안 유지되므로, 공격자들에게 유혹적입니다.
배포 토큰 누출을 방지하기 위해 런너를 안전하게 구성해야 합니다:
- 기계가 재사용될 경우 Docker
privileged모드를 사용하지 않습니다. - 작업이 동일한 컴퓨터에서 실행될 때
shellexecutor를 사용하지 않습니다.
보안되지 않은 GitLab 런너 구성은 다른 작업에서 토큰을 도난당할 가능성을 높입니다.
GitLab 공개 API
배포 토큰은 GitLab 공개 API와 함께 사용할 수 없습니다. 그러나 패키지 레지스트리와 같은 몇 가지 엔드포인트에서는 배포 토큰을 사용할 수 있습니다. 패키지 레지스트리에 속한 엔드포인트임을 알 수 있는 방법은 URL에 packages/<format>이 포함되어 있는지 확인하는 것입니다. 예를 들어, https://gitlab.example.com/api/v4/projects/24/packages/generic/my_package/0.0.1/file.txt와 같이 URL에 packages/<format>이 포함되어 있습니다. 자세한 정보는 레지스트리로 인증를 참조하십시오.
배포 토큰 생성
사용자 계정과 독립적으로 실행될 수 있는 배포 작업을 자동화하기 위해 배포 토큰을 생성합니다.
전제 조건:
- 그룹 배포 토큰을 만들려면 그룹에 대한 소유자 역할이 필요합니다.
- 프로젝트 배포 토큰을 만들려면 프로젝트에 대한 유지관리자 역할이 필요합니다.
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
- 설정 > 저장소를 선택합니다.
- 배포 토큰을 확장합니다.
- 토큰 추가를 선택합니다.
- 필드를 작성하고 원하는 범위를 선택합니다.
- 배포 토큰 생성을 선택합니다.
배포 토큰의 값들을 기록합니다. 페이지를 떠나거나 새로고침한 후에는 다시 액세스할 수 없습니다.
배포 토큰 폐기
더 이상 필요하지 않은 경우 토큰을 폐기합니다.
전제 조건:
- 그룹 배포 토큰을 폐기하려면 그룹에 대한 소유자 역할이 필요합니다.
- 프로젝트 배포 토큰을 폐기하려면 프로젝트에 대한 유지관리자 역할이 필요합니다.
배포 토큰을 폐기하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
- 설정 > 저장소를 선택합니다.
- 배포 토큰을 확장합니다.
- 활성 배포 토큰 섹션에서 폐기하려는 토큰 옆에 폐기를 선택합니다.
저장소 복제
리포지토리를 복제하려면 배포 토큰을 사용할 수 있습니다.
전제 조건:
-
read_repository스코프가있는 배포 토큰.
리포지토리를 복제하는 배포 토큰 사용 예시:
git clone https://<username>:<deploy_token>@gitlab.example.com/tanuki/awesome_project.git
컨테이너 레지스트리에서 이미지 가져오기
배포 토큰을 사용하여 컨테이너 레지스트리에서 이미지를 가져올 수 있습니다.
전제 조건:
-
read_registry스코프가있는 배포 토큰.
컨테이너 레지스트리에서 이미지를 가져오는 배포 토큰 사용 예시:
echo "$DEPLOY_TOKEN" | docker login -u <username> --password-stdin registry.example.com
docker pull $CONTAINER_TEST_IMAGE
컨테이너 레지스트리에 이미지 푸시
배포 토큰을 사용하여 컨테이너 레지스트리에 이미지를 푸시할 수 있습니다.
전제 조건:
-
read_registry및write_registry스코프가있는 배포 토큰.
이미지를 컨테이너 레지스트리에 푸시하는 배포 토큰 사용 예시:
echo "$DEPLOY_TOKEN" | docker login -u <username> --password-stdin registry.example.com
docker push $CONTAINER_TEST_IMAGE
패키지 레지스트리에서 패키지 가져오기
배포 토큰을 사용하여 패키지 레지스트리에서 패키지를 가져올 수 있습니다.
전제 조건:
-
read_package_registry스코프가있는 배포 토큰.
선택한 패키지 유형에 대해 배포 토큰의 인증 지침을 따르십시오.
GitLab 레지스트리에서 NuGet 패키지를 설치하는 예시:
nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget install mypkg.nupkg
패키지 레지스트리에 패키지 푸시
배포 토큰을 사용하여 GitLab 패키지 레지스트리에 패키지를 푸시할 수 있습니다.
전제 조건:
-
write_package_registry스코프가있는 배포 토큰.
선택한 패키지 유형에 대해 배포 토큰의 인증 지침을 따르십시오.
패키지 레지스트리에 NuGet 패키지를 발행하는 예시:
nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget push mypkg.nupkg -Source GitLab
종속성 프록시에서 이미지 가져오기
종속성 프록시에서 이미지를 가져오려면 배포 토큰을 사용할 수 있습니다.
전제 조건:
-
read_registry및write_registry스코프가있는 배포 토큰.
종속성 프록시 인증 지침을 따르십시오.
도움말