- 범위
- GitLab 배포 토큰
- 배포 토큰 생성
- 배포 토큰 취소
- 리포지터리 복제
- 컨테이너 레지스트리에서 이미지 풀링
- 컨테이너 레지스트리로 이미지 푸시
- 패키지 레지스트리에서 패키지 풀링
- 패키지 레지스트리에 패키지 푸시하기
- 의존성 프록시에서 이미지 가져오기
배포 토큰
사용자 계정과 독립적으로 배포 작업의 인증을 활성화하기 위해 배포 토큰을 사용할 수 있습니다. 대부분의 경우, 빌드 서버나 CI/CD 서버와 같은 외부 호스트에서 배포 토큰을 사용합니다.
배포 토큰을 사용하면 자동화된 작업이 다음을 수행할 수 있습니다.
- Git 리포지터리 복제
- GitLab 컨테이너 레지스트리에서 풀 및 푸시
- GitLab 패키지 레지스트리에서 풀 및 푸시
배포 토큰은 다음과 같은 값들의 쌍으로 이루어져 있습니다.
-
사용자 이름: HTTP 인증 프레임워크에서의
username
. 기본 사용자 이름 형식은gitlab+deploy-token-{n}
입니다. 배포 토큰을 생성할 때, 사용자 지정 사용자 이름을 지정할 수 있습니다. -
토큰: HTTP 인증 프레임워크에서의
password
.
이 배포 토큰은 다음 엔드포인트에 대한 HTTP 인증으로 사용할 수 있습니다.
- GitLab 패키지 레지스트리 공개 API
- Git 명령
프로젝트 또는 그룹 수준에서 배포 토큰을 만들 수 있습니다.
- 프로젝트 배포 토큰: 권한은 프로젝트에만 적용됩니다.
- 그룹 배포 토큰: 권한은 그룹 내 모든 프로젝트에 적용됩니다.
기본적으로, 배포 토큰의 유효기간이 만료되지 않습니다. 선택적으로 만료 날짜를 설정할 수 있습니다. 유효기간은 해당 날짜의 UTC 자정에 만료됩니다.
범위
배포 토큰의 범위는 수행할 수 있는 작업을 결정합니다.
범위 | 설명 |
---|---|
read_repository
|
git clone 을 사용하여 리포지터리에 대한 읽기 전용 액세스
|
read_registry
| 프로젝트의 이미지에 대한 읽기 전용 액세스 컨테이너 레지스트리 |
write_registry
| 프로젝트의 컨테이너 레지스트리에 대한 쓰기 액세스(푸시). 이미지를 푸시하려면 읽기 및 쓰기 권한이 필요합니다 |
read_package_registry
| 프로젝트의 패키지 레지스트리에 대한 읽기 전용 액세스 |
write_package_registry
| 프로젝트의 패키지 레지스트리에 대한 쓰기 액세스 |
GitLab 배포 토큰
- GitLab 배포 토큰에 대한 그룹 수준의 지원은 GitLab 15.1에서 도입되었습니다. 기본적으로
ci_variable_for_group_gitlab_deploy_token
이라는 플래그가 있습니다.- GitLab 15.4에서 피처 플래그
ci_variable_for_group_gitlab_deploy_token
이 제거되었습니다.
GitLab 배포 토큰은 특수한 종류의 배포 토큰입니다. gitlab-deploy-token
으로 명명된 배포 토큰을 생성하면, 해당 배포 토큰은 CI/CD 작업에서 변수로 자동 노출되어 사용할 수 있습니다:
-
CI_DEPLOY_USER
: 사용자 이름 -
CI_DEPLOY_PASSWORD
: 토큰
예를 들어, GitLab 컨테이너 레지스트리에 로그인하여 GitLab 토큰을 사용하려면 다음과 같이 할 수 있습니다:
echo "$CI_DEPLOY_PASSWORD" | docker login $CI_REGISTRY -u $CI_DEPLOY_USER --password-stdin
gitlab-deploy-token
배포 토큰에 대한 특수 처리가 그룹 배포 토큰에 대해 작동하지 않습니다. 그룹 배포 토큰을 CI/CD 작업에서 사용할 수 있게 하려면, 설정 > CI/CD > 변수에서 CI_DEPLOY_USER
와 CI_DEPLOY_PASSWORD
CI/CD 변수를 그룹 배포 토큰의 이름과 토큰으로 설정하세요.GitLab 배포 토큰 보안
GitLab 배포 토큰은 장기간 유지되어 있으므로 공격자들에게 유혹스러울 수 있습니다.
배포 토큰이 노출되는 것을 방지하기 위해 러너(runner)를 안전하게 구성해야 합니다:
- 기계를 재사용하는 경우 Docker
privileged
모드 사용을 피하세요. - 작업이 동일한 기계에서 실행될 때,
shell
실행자를 사용하지 마세요.
보안이 취약한 GitLab 러너 설정은 다른 작업에서 토큰을 탈취할 수 있는 위험을 증가시킵니다.
GitLab 공개 API
GitLab 배포 토큰은 GitLab 공개 API와 함께 사용할 수 없습니다. 그러나 패키지 레지스트리와 같은 일부 엔드포인트에서는 배포 토큰을 사용할 수 있습니다. 자세한 내용은 레지스트리와의 인증하기를 참조하세요.
배포 토큰 생성
사용자 계정에 독립적으로 실행할 수 있는 배포 작업을 자동화하기 위해 배포 토큰을 만들 수 있습니다.
전제 조건:
- 그룹 배포 토큰을 만들려면, 그룹에 대한 소유자 역할이 있어야 합니다.
- 프로젝트 배포 토큰을 만들려면, 프로젝트에 대한 최소한의 관리자 역할이 있어야 합니다.
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
- 설정 > 리포지터리를 선택합니다.
- 배포 토큰을 펼칩니다.
- 토큰 추가를 선택합니다.
- 필드를 작성하고 원하는 범위를 선택합니다.
- 배포 토큰 만들기를 선택합니다.
배포 토큰의 값을 기록하세요. 페이지를 떠나거나 새로 고침한 후에는 다시 액세스할 수 없습니다.
배포 토큰 취소
더 이상 필요하지 않은 경우 토큰을 취소하세요.
전제 조건:
- 그룹 배포 토큰을 취소하려면, 그룹에 대한 소유자 역할이 있어야 합니다.
- 프로젝트 배포 토큰을 취소하려면, 프로젝트에 대한 최소한의 관리자 역할이 있어야 합니다.
배포 토큰을 취소하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
- 설정 > 리포지터리를 선택합니다.
- 배포 토큰을 펼칩니다.
- 활성 배포 토큰 섹션에서 취소하려는 토큰 옆의 취소를 선택합니다.
리포지터리 복제
배포 토큰을 사용하여 리포지터리를 복제할 수 있습니다.
전제 조건:
-
read_repository
범위가 있는 배포 토큰
배포 토큰을 사용하여 리포지터리를 복제하는 예:
git clone https://<username>:<deploy_token>@gitlab.example.com/tanuki/awesome_project.git
컨테이너 레지스트리에서 이미지 풀링
배포 토큰을 사용하여 컨테이너 레지스트리에서 이미지를 풀 수 있습니다.
전제 조건:
-
read_registry
범위가 있는 배포 토큰
컨테이너 레지스트리에서 이미지를 풀기 위해 배포 토큰을 사용하는 예:
docker login -u <username> -p <deploy_token> registry.example.com
docker pull $CONTAINER_TEST_IMAGE
컨테이너 레지스트리로 이미지 푸시
배포 토큰을 사용하여 컨테이너 레지스트리에 이미지를 푸시할 수 있습니다.
전제 조건:
-
read_registry
및write_registry
범위가 있는 배포 토큰
컨테이너 레지스트리에 이미지를 푸시하기 위해 배포 토큰을 사용하는 예:
docker login -u <username> -p <deploy_token> registry.example.com
docker push $CONTAINER_TEST_IMAGE
패키지 레지스트리에서 패키지 풀링
배포 토큰을 사용하여 패키지 레지스트리에서 패키지를 풀 수 있습니다.
전제 조건:
-
read_package_registry
범위가 있는 배포 토큰
원하는 패키지 유형에 대해 배포 토큰으로 인증하는 방법은 각 패키지 레지스트리의 인증 지침을 따르세요.
GitLab 레지스트리에서 NuGet 패키지를 설치하는 예:
nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget install mypkg.nupkg
패키지 레지스트리에 패키지 푸시하기
GitLab 패키지 레지스트리에 패키지를 푸시하기 위해 배포 토큰을 사용할 수 있습니다.
전제 조건:
-
write_package_registry
스코프를 가진 배포 토큰.
선택한 패키지 유형에 따라 배포 토큰의 인증 지침을 따릅니다.
NuGet 패키지를 패키지 레지스트리에 게시하는 예시:
nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget push mypkg.nupkg -Source GitLab
의존성 프록시에서 이미지 가져오기
의존성 프록시에서 이미지를 가져오기 위해 배포 토큰을 사용할 수 있습니다.
전제 조건:
-
read_registry
및write_registry
스코프를 가진 배포 토큰.
의존성 프록시의 인증 지침을 따릅니다.