[AEWS] #1주차 Private ECR Repo 이미지 생성 및 파드 배포 (2)

AWS ECR은 Amazon Elastic Container Registry로 AWS의 관리형 레포지토리 서비스이며, 도커 허브 레포지토리와 비슷한 역할을 수행하며 eks에서 레포에 올린 이미지를 다운 받아서 서비스를 배포할 수 있다.

ECR은 aws의 private repository이므로 IAM 인증이 필요한데 AmazonEC2ContainerRegistryReadOnly 정책을 클러스터에 넣으면 EKS에서 ECR에 접근 가능하게 된다.

 

ECR 생성

# ecr 생성
aws ecr create-repository --repository-name test-repo

# private url 확인
aws ecr describe-repositories --repository-name test-repo \
--query "repositories[0].repositoryUri" --output text

 

이미지를 올릴 레포지토리를 생성한다.

Nginx 이미지 준비

FROM nginx:alpine

RUN echo "<h1>Nginx Test Image</h1>" > /usr/share/nginx/html/index.html

EXPOSE 80

CMD ["nginx", "-g", "daemon off;"]

 

간단한 nginx 도커 파일을 생성한다.

ECR 이미지 업로드

# nginx-test 도커파일로 이미지 생성
docker build -t nginx-test .

# ecr private url로 태그 변경
docker tag nginx-test:latest 'ecr private url'

# 이미지 이름 확인
docker images

docker images
REPOSITORY                                                    TAG       IMAGE ID       CREATED          SIZE
private url로 태깅된 nginx 이미지                                 latest    4fea55037bdf   14 minutes ago   47.9MB
nginx-test                                                    latest    4fea55037bdf   14 minutes ago   47.9MB

# ecr 로그인
aws ecr get-login-password --region ap-northeast-2 | docker login --username AWS --password-stdin 'private url'

docker push 'ecr private url'

# ecr에 업로드 된 이미지 확인
aws ecr list-images --repository-name test-repo

{
    "imageIds": [
        {
            "imageDigest": "sha256: ...",
            "imageTag": "latest"
        }
    ]
}

 

ECR에서 가져온 이미지로 eks에 배포

EKS가 ECR에 접근 가능하게 설정

# eks 클러스터에 저장된 iam 정보
aws eks describe-nodegroup --cluster-name myeks --nodegroup-name myeks-nodegroup \
--query "nodegroup.nodeRole" --output text

arn:aws:iam::~~~/[role name]

# ECR 접근을 위한 IAM Role 추가
aws iam attach-role-policy --role-name eks-node-role \
--policy-arn arn:aws:iam::aws:policy/[role name]

 

EKS 클러스터가 ECR 이미지에 접근하기 위해서는 IAM 권한이 필요하므로 EKS 노드 그룹에 정의된 IAM role을 확인하고 정책을 추가한다. 위 작업을 통해 EKS 노드에서 ECR 이미지를 가져올 수 있게 된다. docker pull로 다운받아 온다.

Nginx Deployment

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
        - name: nginx
          image: ecr에 다운받은 이미지 이름
          ports:
            - containerPort: 80

kubectl apply -f nginx-deployment.yaml
deployment.apps/nginx-deployment created

kubectl get pods
NAME                               READY   STATUS    RESTARTS   AGE
nginx-deployment-c766c4b59-bx69p   1/1     Running   0          7s
nginx-deployment-c766c4b59-ktnfr   1/1     Running   0          8s

 

야믈에 작성한대로 2개의 파드가 올라간 것을 확인할 수 있다.

 

Nginx Service

apiVersion: v1
kind: Service
metadata:
  name: nginx-service
spec:
  selector:
    app: nginx
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80
  type: LoadBalancer

kubectl apply -f nginx-service.yaml

service/nginx-service created

kubectl get svc nginx-service
NAME            TYPE           CLUSTER-IP     EXTERNAL-IP                             PORT(S)        AGE
nginx-service   LoadBalancer   10.x.x.x       uuid.ap-northeast-2.elb.amazonaws.com   80:32666/TCP   12s

 

외부 접근을 위해 타입을 로드밸런서로 설정하게 되면 eks에서 AWS Elastic Load Balancer를 생성하게 된다.

이 때 External-ip는 ~.elb.amazonaws.com의 DNS 형태로 표시가 되는데 ELB가 퍼블릭 트래픽을 받아서 내부 EKS nginx pod로 트래픽이 전달된다.

 

 

생성된 서비스의 external ip로 접속해보면 배포한 nginx가 제대로 접근되는 것을 확인할 수 있다.

자원 정리

배포한 리소스 삭제

# 배포한 서비스, ELB 삭제
kubectl delete svc nginx-service

# 파드, 레플리카셋 삭제
kubectl delete deployment nginx-deployment

 

이미지, ecr 레포 삭제

# 이미지 삭제
aws ecr batch-delete-image --repository-name test-repo --image-ids imageTag=latest

# ecr 레포 삭제
aws ecr delete-repository --repository-name test-repo --force

 

EKS 클러스터 삭제

eksctl delete cluster --name myeks

aws cloudformation delete-stack --stack-name myeks

 

delete cluster를 하면 waiting for CloudFormation stack 부분에서 꽤 오래 걸리지만 10분 정도 기다리니 삭제가 되었다.