Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

1.3. 수동으로 이미지 레지스트리 구성

GCR을 사용하는 경우 이미지 레지스트리 통합을 수동으로 생성해야 합니다.

1.3.1. OpenShift Container Platform 레지스트리 수동 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 OpenShift Container Platform 내장 컨테이너 이미지 레지스트리와 통합할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 레지스트리의 인증을 위해 사용자 이름과 암호가 필요합니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 Generic Docker Registry 를 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. endpoint: 레지스트리의 주소입니다.
    3. 사용자 이름암호.
  5. 레지스트리에 연결할 때 TLS 인증서를 사용하지 않는 경우 Disable TLS certificate validation (비보안) 을 선택합니다.
  6. 테스트 없이 통합 생성 을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  7. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  8. 저장을 선택합니다.

1.3.2. 수동으로 Amazon Elastic Container Registry 구성
링크 복사

Kubernetes용 Red Hat Advanced Cluster Security를 사용하여 Amazon Elastic Container Registry(ECR) 통합을 수동으로 생성하고 수정할 수 있습니다. Amazon ECR에서 배포하는 경우 Amazon ECR 레지스트리의 통합은 일반적으로 자동으로 생성됩니다. 그러나 자체적으로 통합을 생성하여 배포 외부 이미지를 스캔하는 것이 필요할 수 있습니다. 자동 생성된 통합의 매개변수를 수정할 수도 있습니다. 예를 들어 자동으로 생성된 Amazon ECR 통합에서 사용하는 인증 방법을 변경하여 AssumeRole 인증 또는 기타 권한 부여 모델을 사용할 수 있습니다.

중요

자동으로 생성된 ECR 통합 변경 사항을 지우려면 통합을 삭제하고 Red Hat Advanced Cluster Security for Kubernetes는 Amazon ECR에서 이미지를 배포할 때 자동으로 생성된 매개변수와 함께 새로운 통합을 생성합니다.

사전 요구 사항

  • Amazon IAM(Identity and Access Management) 액세스 키 ID와 시크릿 액세스 키가 있어야 합니다. 또는 kiam 또는 kube2iam 과 같은 노드 수준 IAM 프록시를 사용할 수 있습니다.
  • 액세스 키에는 ECR에 대한 읽기 액세스 권한이 있어야 합니다. 자세한 내용은 How do I create an AWS access key? 에서 참조하십시오.

  • Red Hat Advanced Cluster Security for Kubernetes를 Amazon Elastic Kubernetes Service(EKS)에서 실행하고 별도의 Amazon 계정의 ECR과 통합하려면 먼저 ECR에 리포지토리 정책 문을 설정해야 합니다. 리포지토리 정책 명령 설정 및 작업에 대한 지침에 따라 Amazon ECR API 작업 의 다음 범위를 선택합니다.

    • ecr:BatchCheckLayerAvailability
    • ecr:BatchGetImage
    • ecr:DescribeImages
    • ecr:GetDownloadUrlForLayer
    • ecr:ListImages

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 Amazon ECR 을 선택합니다.
  3. 새로 만들기를 클릭하거나 자동으로 생성된 통합 중 하나를 클릭하여 엽니다.

  4. 다음 필드에 대한 세부 정보를 입력하거나 수정합니다.

    1. 저장된 인증 정보 업데이트: 액세스 키 및 암호와 같은 인증 정보를 업데이트하지 않고 통합을 수정하는 경우 이 상자를 지웁니다.
    2. Integration Name: 통합의 이름입니다.
    3. 레지스트리 ID: 레지스트리의 ID입니다.
    4. endpoint: 레지스트리의 주소입니다. 이 값은 Amazon ECR에 프라이빗 VPC(Virtual Private Cloud) 끝점을 사용하는 경우에만 필요합니다. AssumeRole 옵션을 선택하면 이 필드가 활성화되지 않습니다.
    5. region : 레지스트리의 리전 입니다(예: us-west-1 ).
  5. IAM을 사용하는 경우 컨테이너 IAM 역할 사용을 선택합니다. 또는 Use Container IAM 역할 상자를 지우고 Access 키 ID시크릿 액세스 키를 입력합니다.

  6. AssumeRole 인증을 사용하는 경우 AssumeRole 사용을 선택하고 다음 필드에 대한 세부 정보를 입력합니다.

    1. AssumeRole ID: 가정할 역할의 ID입니다.
    2. AssumeRole 외부 ID (선택 사항): AssumeRole이 있는 외부 ID 를 사용하는 경우 여기에서 입력할 수 있습니다.
  7. 테스트 없이 통합 생성 을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  8. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  9. 저장을 선택합니다.

1.3.2.1. Amazon ECR에서 assumerole 사용
링크 복사

AssumeRole 을 사용하여 각 사용자의 권한을 수동으로 구성하지 않고도 AWS 리소스에 대한 액세스 권한을 부여할 수 있습니다. 대신 원하는 권한으로 역할을 정의하여 사용자에게 해당 역할을 가정할 수 있는 액세스 권한을 부여할 수 있습니다. AssumeRole 을 사용하면 보다 세분화된 권한을 부여, 취소 또는 관리할 수 있습니다.

1.3.2.1.1. 컨테이너 IAM을 사용하여 AssumeRole 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes에서 AssumeRole을 사용하려면 먼저 구성해야 합니다.

프로세스

  1. EKS 클러스터의 IAM OIDC 공급자를 활성화합니다. 

    $ eksctl utils associate-iam-oidc-provider --cluster <cluster name> --approve
    Copy to Clipboard Toggle word wrap
  2. EKS 클러스터에 대한 IAM 역할을 생성합니다.

  3. 새로 생성된 역할을 서비스 계정과 연결합니다. 

    $ kubectl -n stackrox annotate sa central eks.amazonaws.com/role-arn=arn:aws:iam::67890:role/<role-name>
    Copy to Clipboard Toggle word wrap

  4. Central을 다시 시작하여 변경 사항을 적용합니다. 

    $ kubectl -n stackrox delete pod -l app=central
    Copy to Clipboard Toggle word wrap

  5. 역할이 필요에 따라 다른 역할을 가정할 수 있는 정책에 역할을 할당합니다. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ecr-registry>:role/<assumerole-readonly>"
    1 
    
        }
    ]
}
    Copy to Clipboard Toggle word wrap
    1
    & lt;assumerole-readonly& gt;를 가정하려는 역할로 바꿉니다.

  6. 가정할 역할의 신뢰 관계를 업데이트합니다. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::<ecr-registry>:role/<role-name>"
    1 
    
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
    Copy to Clipboard Toggle word wrap
    1
    & lt;role-name >은 이전에 만든 새 역할과 일치해야 합니다.
1.3.2.1.2. 컨테이너 IAM 없이 AssumeRole 구성
링크 복사

컨테이너 IAM 없이 AssumeRole을 사용하려면 액세스 권한과 시크릿 키를 사용하여 프로그래밍 방식으로 액세스할 수 있는 AWS 사용자로 인증해야 합니다.

프로세스

  1. AssumeRole 사용자가 ECR 레지스트리와 동일한 계정에 있는지 여부에 따라 다음 중 하나를 수행해야합니다.

    • 역할을 가정하려는 사용자가 ECR 레지스트리와 동일한 계정에 있는 경우 원하는 권한으로 새 역할을 생성합니다.

      참고

      역할을 생성할 때 필요에 따라 신뢰할 수 있는 엔터티를 선택할 수 있습니다. 그러나 생성 후 수정해야 합니다.

    • 또는 ECR 레지스트리에 액세스할 수 있는 권한을 제공하고 사용자가 ECR 레지스트리와 다른 계정에 있는 경우 신뢰 관계를 정의해야 합니다. 

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ecr-registry>:role/<assumerole-readonly>"
      1 
      
        }
    ]
}
      Copy to Clipboard Toggle word wrap
      1
      & lt;assumerole-readonly& gt;를 가정하려는 역할로 바꿉니다.

  2. Principal 필드에 사용자 ARN을 포함하여 역할의 신뢰 관계를 구성합니다. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::<ecr-registry>:user/<role-name>"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
    Copy to Clipboard Toggle word wrap
1.3.2.1.3. RHACS에서 AssumeRole 구성
링크 복사

ECR에서 AssumeRole을 구성한 후 AssumeRole을 사용하여 Kubernetes용 Red Hat Advanced Cluster Security를 Amazon Elastic Container Registry(ECR)와 통합할 수 있습니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 Amazon ECR 을 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. 레지스트리 ID: 레지스트리의 ID입니다.
    3. region : 레지스트리의 리전 입니다(예: us-west-1 ).
  5. IAM을 사용하는 경우 컨테이너 IAM 역할 사용을 선택합니다. 그렇지 않으면 사용자 지정 IAM 역할 사용 상자를 지우고 Access 키 ID시크릿 액세스 키를 입력합니다.

  6. AssumeRole을 사용하는 경우 AssumeRole 사용을 선택하고 다음 필드에 대한 세부 정보를 입력합니다.

    1. AssumeRole ID: 가정할 역할의 ID입니다.
    2. AssumeRole 외부 ID (선택 사항): AssumeRole이 있는 외부 ID 를 사용하는 경우 여기에서 입력할 수 있습니다.
  7. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  8. 저장을 선택합니다.

1.3.3. 수동으로 Google 컨테이너 레지스트리 구성
링크 복사

RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 Google Container Registry(GCR)와 통합할 수 있습니다.

사전 요구 사항

  • 인증을 위한 워크로드 ID 또는 서비스 계정 키가 있어야 합니다.

    자세한 내용은 GKE 워크로드에서 Google Cloud API 인증 (Google Cloud 문서)을 참조하십시오.

  • 연결된 서비스 계정의 레지스트리에 액세스할 수 있습니다.

    자세한 내용은 IAM으로 액세스 제어 (Google Cloud 설명서)를 참조하십시오.

  • GCR Container Analysis를 사용하는 경우 서비스 계정에 다음 역할을 부여했습니다.

    • 컨테이너 분석 노트 뷰어
    • 컨테이너 분석 탐색 뷰어

    • 스토리지 오브젝트 뷰어

      자세한 내용은 컨테이너 분석 및 취약점 스캔 (Google Cloud 설명서)을 참조하십시오.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합을 클릭합니다.
  2. 이미지 통합 섹션에서 Google Container Registry 를 클릭합니다.
  3. 새 통합을 생성하려면 새 통합을 클릭합니다.
  4. 통합 이름을 입력합니다.

  5. 구성할 적절한 유형의 통합을 선택합니다.

    • 컨테이너 이미지 레지스트리가 포함된 통합을 구성하려면 레지스트리 를 선택합니다.
    • 스캐너가 포함된 통합을 구성하려면 스캐너 를 선택합니다.
    • 컨테이너 이미지 레지스트리 및 스캐너가 포함된 통합을 구성하려면 Registry+Scanner 를 선택합니다.
  6. 레지스트리 주소를 입력합니다.
  7. 선택 사항: Google Cloud 프로젝트의 이름을 입력합니다. RHACS는 레지스트리 프로젝트와 비교하여 이미지를 찾습니다. 프로젝트 이름을 지정하지 않으면 RHACS는 모든 프로젝트에 대한 이미지와 일치합니다.
  8. 선택 사항: 워크로드 ID를 사용하여 인증하려면 워크로드 ID 사용 확인란을 선택합니다.
  9. 인증을 위해 서비스 계정 키를 입력합니다.
  10. 선택 사항: 테스트 없이 통합 생성 확인란을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  11. 선택 사항: 선택한 레지스트리와의 통합을 테스트하려면 테스트를 클릭합니다.
  12. 통합을 저장하려면 저장을 클릭합니다.

1.3.4. 수동으로 Google Artifact Registry 구성
링크 복사

RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 Google Artifact Registry(GAR)와 통합할 수 있습니다.

사전 요구 사항

  • 인증을 위한 워크로드 ID 또는 서비스 계정 키가 있어야 합니다.

    자세한 내용은 GKE 워크로드에서 Google Cloud API 인증 (Google Cloud 문서)을 참조하십시오.

  • 아티팩트 레지스트리 리더 IAM(Identity and Access Management) 역할, 관련 서비스 계정에 대한 roles/artifactregistry.reader 가 있습니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합을 클릭합니다.
  2. 이미지 통합 섹션에서 Google Artifact Registry 를 클릭합니다.
  3. 새 통합을 생성하려면 새 통합을 클릭합니다.
  4. 통합 이름을 입력합니다.
  5. 레지스트리 주소를 입력합니다.
  6. 선택 사항: Google Cloud 프로젝트의 이름을 입력합니다. RHACS는 레지스트리 프로젝트와 비교하여 이미지를 찾습니다. 프로젝트 이름을 지정하지 않으면 RHACS는 모든 프로젝트에 대한 이미지와 일치합니다.
  7. 선택 사항: 워크로드 ID를 사용하여 인증하려면 워크로드 ID 사용 확인란을 선택합니다.
  8. 인증을 위해 서비스 계정 키를 입력합니다.
  9. 선택 사항: 테스트 없이 통합 생성 확인란을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  10. 선택 사항: 선택한 레지스트리와의 통합을 테스트하려면 테스트를 클릭합니다.
  11. 통합을 저장하려면 저장을 클릭합니다.

1.3.5. Microsoft Azure Container Registry 수동 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 Microsoft Azure Container Registry와 통합할 수 있습니다.

사전 요구 사항

  • Azure 관리 또는 Azure 워크로드 ID가 있습니다.

    Azure 관리 ID에 대한 자세한 내용은 Azure 리소스에 대한 관리 ID를 참조하십시오. (Microsoft Azure 설명서).

    Azure 워크로드 ID에 대한 자세한 내용은 워크로드 ID 페더레이션( Microsoft Azure 문서)을 참조하십시오.

  • 컨테이너 레지스트리가 포함된 범위에 대한 ID에 대한 리더 역할이 있습니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 Microsoft Azure Container Registry 를 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. endpoint: 레지스트리의 주소입니다.
    3. 사용자 이름암호.
    4. 선택 사항: Azure 관리 또는 워크로드 ID 를 사용하여 인증하려는 경우 워크로드 ID 사용 확인란을 선택합니다.
  5. 테스트 없이 통합 생성 을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  6. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  7. 저장을 선택합니다.

1.3.6. JFrog Artifactory 수동 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 JFrog Artifactory와 통합할 수 있습니다.

사전 요구 사항

  • JFrog Artifactory 인증을 위한 사용자 이름과 암호가 있어야 합니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 JFrog Artifactory 를 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. endpoint: 레지스트리의 주소입니다.
    3. 사용자 이름암호.
  5. 레지스트리에 연결할 때 TLS 인증서를 사용하지 않는 경우 Disable TLS certificate validation (비보안) 을 선택합니다.
  6. 테스트 없이 통합 생성 을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  7. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  8. 저장을 선택합니다.

1.3.7. 수동으로 Quay 컨테이너 레지스트리 구성
링크 복사

RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 Quay Container Registry와 통합할 수 있습니다. 다음 방법을 사용하여 Quay와 통합할 수 있습니다.

  • Quay 공용 리포지토리(registry)와 통합: 이 방법은 인증이 필요하지 않습니다.

  • Quay 프라이빗 레지스트리와 통합:

    • 로봇 계정을 사용하여: 이 방법을 사용하려면 Quay와 함께 사용할 로봇 계정을 만들어야 합니다(권장). 자세한 내용은 Quay 설명서의 Red Hat Quay Cryostat 계정 개요 주제를 참조하십시오.
    • 외부 시크릿과 함께 키리스 인증을 사용하는 경우: 이 방법은 OIDC 페더레이션 및 외부 Secrets Operator (ESO)를 사용합니다. 자세한 내용은 "외부 시크릿을 사용하여 Quay 레지스트리 키 없이 인증 활성화"를 참조하십시오.
  • RHACS 스캐너 대신 Quay 스캐너를 사용하기 위해 Quay와 통합: 이 방법은 API를 사용하며 인증을 위해 OAuth 토큰이 필요합니다. 자세한 내용은 "추가 리소스" 섹션의 "이미지 검사를 위해 Quay Container Registry와의 통합"을 참조하십시오.

사전 요구 사항

  • Quay 프라이빗 레지스트리로 인증하려면 로봇 계정 또는 OAuth 토큰(더 이상 사용되지 않음)과 연결된 인증 정보가 필요합니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 Red Hat Quay.io 를 선택합니다.
  3. 새 통합을 클릭합니다.
  4. Integration 이름을 입력합니다.

  5. 끝점 또는 레지스트리 주소를 입력합니다.

    1. Quay 공용 리포지토리와 통합하려는 경우 유형 에서 레지스트리 를 선택한 다음 다음 단계로 이동합니다.

    2. Quay 프라이빗 레지스트리와 통합하려는 경우 유형 에서 레지스트리 선택하고 다음 필드에 정보를 입력합니다.

      • robot username : Quay 로봇 계정을 사용하여 레지스트리에 액세스하는 경우 < namespace>+<accountname> 형식으로 사용자 이름을 입력합니다.
      • robot password : Quay 로봇 계정을 사용하여 레지스트리에 액세스하는 경우 로봇 계정 사용자 이름의 암호를 입력합니다.
      • OAuth 토큰: OAuth 토큰(더 이상 사용되지 않음)을 사용하여 레지스트리에 액세스하는 경우 이 필드에 입력합니다.
  6. 선택 사항: 레지스트리에 연결할 때 TLS 인증서를 사용하지 않는 경우 Disable TLS certificate validation (비보안) 을 선택합니다.
  7. 선택 사항: 테스트 없이 통합을 생성하려면 테스트 없이 통합 생성 을 선택합니다.
  8. 저장을 선택합니다.
참고

Quay 통합을 편집하지만 인증 정보를 업데이트하지 않으려면 저장된 인증 정보 업데이트가 선택되지 않았는지 확인합니다.

1.3.8. 외부 시크릿을 사용하여 Quay 레지스트리 키리스 인증 활성화
링크 복사

Quay 개인 레지스트리에 저장된 이미지를 검증하기 위해 Red Hat Quay 레지스트리에서 키리스 인증을 사용하도록 RHACS를 구성할 수 있습니다. 이 방법은 External Secrets Operator (ESO) 및 OpenID Connect (OIDC) 페더레이션을 사용합니다.

사전 요구 사항

  • RHACS에서 위임된 스캔을 활성화했습니다. 자세한 내용은 "추가 리소스" 섹션의 "인증된 이미지 검색 액세스"를 참조하십시오.
  • 보안 클러스터 centralEndpoint에 대해 구성된 중앙 끝점: central.stackrox:443 또는 이와 유사합니다.

  • OIDC 페더레이션이 구성된 Red Hat Quay에서 생성된 로봇 계정입니다.

    • Quay 로봇 ID 통합 구성의 발행자 URL은 OpenShift Container Platform 클러스터의 서비스 계정 토큰 발행자와 일치해야 합니다.
    • 하위 클레임 주체는 클러스터에서 구성하는 서비스 계정 이름 및 네임스페이스와 일치해야 합니다.

    자세한 내용은 Quay 설명서의 Red Hat Quay Cryostat 계정 개요 주제를 참조하십시오.

프로세스

  1. Quay 인스턴스에서 로봇 계정 설정으로 이동하여 OIDC 페더레이션을 구성합니다.

    ESO에서 사용하는 OpenShift Container Platform 서비스 계정과 일치하도록 발급자 URL주체 필드가 올바르게 설정되어 있는지 확인합니다. 자세한 내용은 Red Hat Quay 설명서의 로봇 계정 페더레이션 설정 주제를 참조하십시오.

  2. 클러스터에 ESO가 아직 없으면 Helm 또는 다른 기본 방법을 사용하여 설치합니다. 

    $ helm repo add external-secrets https://charts.external-secrets.io
helm install external-secrets \
  external-secrets/external-secrets \
  -n external-secrets \
  --create-namespace
    Copy to Clipboard Toggle word wrap

  3. 다음 Kubernetes 리소스를 정의하고 적용합니다. 이 예제에서는 ServiceAccount 리소스, ESO 설치에서 제공하는 QuayAccessToken 생성기 리소스 및 생성기를 사용하여 지정된 네임스페이스에 kubernetes.io/dockerconfigjson 시크릿을 생성하는 ExternalSecret 리소스를 생성합니다.

    중요

    QuayAccessToken 리소스의 robotAccount 필드를 Quay 로봇 계정 이름과 일치하도록 업데이트합니다. 

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: quay
  namespace: quay
---
apiVersion: generators.external-secrets.io/v1alpha1
kind: QuayAccessToken
metadata:
  name: quay-token
  namespace: quay
spec:
  url: quay.io
  robotAccount: keyless+account
    1 
    
  serviceAccountRef:
    name: quay
    namespace: quay
---
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: quay-credentials
  namespace: quay
spec:
  dataFrom:
  - sourceRef:
      generatorRef:
        apiVersion: generators.external-secrets.io/v1alpha1
        kind: QuayAccessToken
        name: quay-token
  refreshInterval: 55m
  target:
    name: quay-credentials
    template:
      type: kubernetes.io/dockerconfigjson
      data:
        .dockerconfigjson: |
          {
            "auths": {
              "{{ .registry }}": {
                "auth": "{{ .auth }}"
              }
            }
          }
    Copy to Clipboard Toggle word wrap
    1
    keyless+account 를 Quay 로봇 계정의 실제 이름으로 교체합니다.

검증

  • ESO가 지정된 네임스페이스에 kubernetes.io/dockerconfigjson 유형의 quay-credentials 라는 시크릿을 성공적으로 생성했는지 확인합니다. 

    $ kubectl get secret quay-credentials -n quay -o yaml
    Copy to Clipboard Toggle word wrap

키가 없는 인증 방법은 위임된 스캔을 사용하여 이미지 스캔 을 지원합니다.

  • 다음 명령을 실행하여 위임된 이미지 스캔을 사용합니다. 

    $ roxctl image scan <image_name> --namespace=<namespace_where_secret_exists>
    1
    Copy to Clipboard Toggle word wrap
    1
    보안을 생성한 이미지 이름과 네임스페이스를 지정합니다.

1.3.9. 수동으로 GitHub 컨테이너 레지스트리 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 GitHub Container Registry(GHCR)와 통합할 수 있습니다.

사전 요구 사항

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 GitHub 컨테이너 레지스트리 를 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. endpoint: 레지스트리의 주소입니다.
    3. username: GitHub 사용자 이름입니다. 익명 액세스를 위해 비워 둡니다.
    4. GitHub 토큰: GitHub 개인 액세스 토큰입니다. 익명 액세스를 위해 비워 둡니다.
  5. 테스트 없이 통합 생성 을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다. 익명 액세스를 허용하려면 이 옵션을 활성화합니다.
  6. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  7. 저장을 선택합니다.

1.3.10. 수동으로 IBM Cloud Container Registry 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 IBM Cloud Container Registry와 통합할 수 있습니다.

사전 요구 사항

  • IBM Cloud Container Registry를 통한 인증을 위해 API 키가 있어야 합니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 IBM Cloud Container Registry 를 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. endpoint: 레지스트리의 주소입니다.
    3. API 키.
  5. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  6. 저장을 선택합니다.

1.3.11. Red Hat Container Registry 수동 구성
링크 복사

Red Hat Advanced Cluster Security for Kubernetes를 Red Hat Container Registry와 통합할 수 있습니다.

사전 요구 사항

  • Red Hat Container Registry 인증을 위한 사용자 이름과 암호가 있어야 합니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 섹션에서 Red Hat Registry 를 선택합니다.
  3. 새 통합을 클릭합니다.

  4. 다음 필드에 대한 세부 정보를 입력합니다.

    1. Integration Name: 통합의 이름입니다.
    2. endpoint: 레지스트리의 주소입니다.
    3. 사용자 이름암호.
  5. 테스트 없이 통합 생성 을 선택하여 레지스트리에 대한 연결을 테스트하지 않고 통합을 생성합니다.
  6. Test 를 선택하여 선택한 레지스트리와 통합이 작동하는지 테스트합니다.
  7. 저장을 선택합니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat