컨테이너 레지스트리 전략: 태깅, 캐싱 및 보안 스캐닝

여러분의 컨테이너 레지스트리(Container registry)는 단순히 이미지를 저장하는 장소 그 이상입니다. 이는 CI 파이프라인(CI pipeline)을 배포 환경(deployment environment)에 연결하는 아티팩트 저장소(artifact repository)입니다. 적절한 태깅(tagging), 캐싱(caching), 그리고 보안 관행을 갖춘 잘 조직된 레지스트리는 신뢰할 수 있는 배포를 위해 필수적입니다.

태깅 전략(Tagging strategy)은 가장 중요한 결정 사항입니다. 프로덕션(production)에 배포하는 어떤 것에도 :latest 태그를 사용하지 마세요. 이는 모호하고, 변경 가능하며(mutable), 롤백(rollback)을 불가능하게 만듭니다. 대신 git 커밋 SHA, 빌드 번호(build number), 또는 시맨틱 버전(semantic version)을 기반으로 한 불변 태그(immutable tags)를 사용하세요.

빌드 속도를 높이기 위해 레지스트리 캐싱(registry caching)을 사용하세요. 많은 레지스트리가 업스트림 이미지(upstream images)의 프록시(proxying) 및 캐싱을 지원합니다. 이는 자주 사용되는 베이스 이미지(base images)의 빌드 시간을 단축하고 대역폭 비용을 줄여줍니다. 가장 흔히 사용하는 이미지들에 대해 캐싱을 구성하세요.

이미지가 프로덕션에 도달하기 전에 취약점(vulnerabilities)을 스캔하세요. 대부분의 레지스트리는 이제 내장된 스캐닝(scanning) 기능을 포함하고 있습니다. 심각(critical) 또는 높음(high-severity) 수준의 취약점이 있는 이미지의 배포를 차단하는 정책을 구성하세요. 스캐닝을 CI 파이프라인에 통합하세요.

이미지의 크기와 보안을 최적화하세요. 멀티 스테이지 빌드(multi-stage builds)를 사용하여 런타임 이미지(runtime image)에서 빌드 종속성(build dependencies)을 제거하세요. 가능한 경우 distroless 또는 scratch 베이스 이미지를 사용하세요. 이미지가 작을수록 취약점이 적고, 풀(pull) 시간이 빠르며, 스토리지 비용이 낮아집니다.

공급망 무결성(supply chain integrity)을 보장하기 위해 cosign으로 이미지를 서명하세요. 이미지 서명(Image signing)을 통해 이미지가 여러분의 CI 파이프라인에 의해 빌드되었으며 변조되지 않았음을 확인할 수 있습니다. 배포 전에 서명을 검증하도록 배포 시스템을 구성하세요.

오래된 이미지를 정리하기 위해 보존 정책(retention policies)을 구현하세요. 저장소당 가장 최근의 N개 이미지만 저장하고 오래된 이미지는 자동으로 삭제하세요. 이를 통해 스토리지 비용을 제어하고 레지스트리를 더 쉽게 탐색할 수 있습니다.

Rizwan Saleem | https://rizwansaleem.co