컨테이너 이미지 가져오기에 대한 방화벽 관련 변경 사항
Red Hat 컨테이너 이미지 레지스트리가 변경되고 있으므로 방화벽 설정을 조정해야 할 수도 있습니다. 2023년 5월 1일까지 이 조정을 완료하시기 바랍니다.
변경 사항
현재 모든 이미지 매니페스트 및 파일 시스템 Blob은 registry.redhat.io 및 registry.access.redhat.com에서 직접 제공됩니다. 이번 변경 사항 사항에서는 파일 시스템 blob이 Quay.io에서 제공됩니다. 컨테이너 이미지 가져오기 문제를 방지하려면 다음 호스트 이름에 대한 아웃바운드 TCP 연결(포트 80 및 443)을 허용해야 합니다.
- cdn.quay.io
- cdn01.quay.io
- cdn02.quay.io
- cdn03.quay.io
이 변경은 특히 registry.redhat.io 또는 registry.access.redhat.com에 대한 아웃바운드 연결을 허용하는 모든 방화벽 구성에 적용되어야 합니다. 이렇게 변경한 후에도 이전과 같이 registry.redhat.io 및 registry.access.redhat.com에서 이미지를 계속 가져올 수 있습니다. Red Hat 컨테이너 이미지를 계속 가져오기 위해 Quay.io 로그인하거나 Quay.io 레지스트리와 직접 상호 작용할 필요가 없습니다.
이러한 호스트에 대한 아웃바운드 연결은 이전에 OpenShift 설치 지침을 따랐거나 Quay.io 레지스트리를 사용해야 했기 때문에 방화벽 구성에서 이미 허용되었을 수 있습니다. Red Hat AAP(Ansible Automation Platform) 또는 Red Hat Satellite와 같이 Red Hat 레지스트리에서 컨테이너 이미지를 동기화하거나 다운로드하는 다른 제품은 위에 나열된 호스트에 대한 아웃바운드 액세스를 허용하기 위해 관련 방화벽 또는 프록시를 변경해야 할 수 있습니다.
방화벽 규칙을 설정할 때 IP 주소 대신 호스트 이름을 사용하는 것이 좋습니다. 자세한 내용은 이 문서 참조하십시오.
변경 이유
2022년 6월부터 Red Hat OpenShift 운영자 인덱스 이미지(redhat/redhat/operator-index)는 Quay.io를 백엔드로 사용하여 registry.redhat.io에서 제공되고 있습니다. OpenShift 자체는 이미 설치 지침에 설명된 대로 Quay.io 레지스트리 및 CDN 호스트에 액세스해야 하므로 이 변경 사항은 당시 고객의 조치가 필요하지 않았습니다.
이를 모든 Red Hat 컨테이너 이미지로 확장하고 있습니다. 이를 통해 고객은 Quay.io 레지스트리의 고가용성 혜택을 누리는 동시에 Red Hat이 컨테이너 이미지를 제공하는 방식을 단순화하고 향후 향상된 기능을 제공할 수 있습니다.
테스트
레지스트리 변경 전에 이미지 풀이 계속 작동하는지 확인할 수 있습니다. 이렇게 하려면 Quay.io에서 이미 호스팅된 파일 시스템 Blob이 있는 registry.redhat.io/redhat/redhat-operator-index:v4.12
이미지를 가져옵니다. 이렇게 하려면 고객 포털 인증 정보를 사용하여 다음 명령을 실행합니다.
podman login registry.redhat.io
podman pull registry.redhat.io/redhat/redhat-operator-index:v4.12
echo $?
이미지를 성공적으로 가져온 경우 echo $?
명령에 "0"이 표시됩니다.
추가 정보
이 변경 사항 외에 많은 사항이 이전과 동일하게 유지됩니다.
- 컨테이너 이미지 가져오기 사양은 변경되지 않았으므로 registry.redhat.io 및 registry.access.redhat.com에서 이미지를 계속 가져올 수 있습니다.
- Red Hat 컨테이너 이미지는 동일한 방식으로 동일한 키로 계속 서명됩니다.
- 컨테이너 이미지 매니페스트는 registry.redhat.io 및 registry.access.redhat.com에서 직접 제공됩니다. Quay.io CDN으로의 리디렉션은 구성 및 파일 시스템 Blob에만 해당됩니다.
- sha256 다이제스트로 이미지를 가져오는 것은 여전히 스키마 2 다이제스트를 사용해야 합니다(이전 기사 참조).
- 이미지 태그, 스키마 2 다이제스트, 이미지 ID 및 서명은 변경되지 않은 상태로 유지됩니다.
- 변경하기 전에 가져온 이미지는 유효한 상태로 유지되며 다시 가져올 필요가 없습니다.
- OpenShift 또는 Kubernetes 클러스터에는 ImageContentSourcePolicy와 관련된 변경이 필요하지 않습니다.
- OpenShift 또는 Kubernetes 클러스터의 경우 노드 재시작, 캐시 변경 또는 어떤 종류의 업그레이드도 필요하지 않습니다.
위에서 언급한 호스트 이름에 대한 아웃바운드 연결을 허용하면 사용하는 방화벽의 특성에 따라 다음 문제를 해결할 수 있습니다.
- 이미지를 가져올 때 연결이 거부됨
- 이미지를 가져올 때 I/O 시간 초과
- OpenShift 또는 Kubernetes 클러스터 내에서 이미지를 가져올 때 ImagePullBackOff 상태
다음은 방화벽 구성이 다른 "podman pull"에서 볼 수 있는 오류의 예입니다.
Trying to pull [...]...
WARN[0033] Failed, retrying in 1s ... (1/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: i/o timeout
WARN[0065] Failed, retrying in 1s ... (2/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: i/o timeout
WARN[0099] Failed, retrying in 1s ... (3/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: i/o timeout
Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: i/o timeout
Trying to pull [...]...
WARN[0033] Failed, retrying in 1s ... (1/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
WARN[0065] Failed, retrying in 1s ... (2/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
WARN[0099] Failed, retrying in 1s ... (3/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
Error: copying system image from manifest list: parsing image configuration: Get "https://cdn02.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
지원 요청
Red Hat 계정 팀 또는 Red Hat 파트너에게 안내를 받을 수 있습니다. 또는 지원 전문가에게 문의하십시오: https://access.redhat.com/support/.
Comments