3.5. 짧은 이름 별칭 구성
Red Hat은 항상 정규화된 이름으로 이미지를 가져오는 것이 좋습니다. 그러나 이미지를 짧은 이름으로 가져오는 것이 일반적입니다. 예를 들어 registry.access.redhat.com/
대신 ubi9를 사용할 수 있습니다.
ubi9
:latest
registries.conf
파일을 사용하면 짧은 이름에 대한 별칭을 지정할 수 있으므로 관리자는 이미지를 가져온 위치를 완전히 제어할 수 있습니다. 별칭은 "name" = "value"
형식의 [aliases]
테이블에 지정됩니다. /etc/containers/registries.conf.d
디렉터리에 별칭 목록을 볼 수 있습니다. Red Hat은 이 디렉토리에 별칭 세트를 제공합니다. 예를 들어 podman pull ubi9
는 registry.access.redhat.com/ubi9:latest
입니다.
예를 들면 다음과 같습니다.
unqualified-search-registries=["registry.fedoraproject.org", “quay.io"] [aliases] "fedora"="registry.fedoraproject.org/fedora"
짧은 이름 모드는 다음과 같습니다.
-
강제: 이미지 가져오기 중에 일치하는 별칭을 찾을 수 없는 경우 Podman은 사용자에게 unqualified-search 레지스트리 중 하나를 선택하라는 메시지를 표시합니다. 선택한 이미지를 성공적으로 가져오면 Podman은
$HOME/.cache/containers/short-name-aliases.conf 파일(rootless user) 또는
사용자에게 메시지를 표시할 수 없는 경우 (예: stdin 또는 stdout는 TTY가 아님) Podman은 실패합니다. 둘 다 동일한 별칭을 지정하는 경우/var/cache/containers/short-
name-aliases.conf(root user)에 새로운 짧은 이름 별칭을 자동으로 기록합니다.short-name-aliases
파일보다 우선합니다..conf
파일이 registries.conf - Permissive: 강제 모드와 유사하지만, 사용자에게 메시지를 표시할 수 없는 경우 Podman은 실패하지 않습니다. 대신 Podman은 지정된 순서로 모든 정규화되지 않은 레지스트리에서 검색합니다. 별칭은 기록되지 않습니다.
- disabled: 정규화되지 않은 모든 레지스트리는 지정된 순서로 시도되며 별칭은 기록되지 않습니다.
레지스트리, 네임스페이스, 이미지 이름, 태그를 포함하여 정규화된 이미지 이름을 사용하는 것이 좋습니다. 짧은 이름을 사용할 때는 항상 스푸핑 위험이 있습니다. 신뢰할 수 있는 레지스트리, 즉 알 수 없는 익명 사용자가 임의의 이름으로 계정을 생성할 수 없는 레지스트리를 추가합니다. 예를 들어 사용자는 example .registry.com 레지스트리에서 예제
컨테이너 이미지를 가져오려고 합니다. example.registry.com
이 검색 목록에 처음 없는 경우 공격자는 검색 목록의 앞부분에서 레지스트리에 다른 예제 이미지를 배치할 수 있습니다. 사용자가 의도한 내용이 아닌 공격자 이미지를 실수로 가져와서 실행합니다.
추가 리소스