컨테이너 레지스트리

컨테이너 레지스트리

컨테이너 이미지를 저장, 관리, 배포하는 중앙 저장소로, 이미지의 버전 관리, 접근 제어, 취약점 스캔, 이미지 서명 등의 기능을 제공하며 OCI Distribution Spec 표준을 따름

구조: Registry(레지스트리 docker.io/gcr.io/ecr.aws) → Repository(리포지토리 library/nginx) → Image(이미지 Tag:1.0/Tag:1.1/Tag:latest, Digest:sha256:a/b/c), 이미지 주소 형식: [registry]/[repository]:[tag] 예: gcr.io/my-project/my-app:v1.0.0

주요 레지스트리: Docker Hub(퍼블릭/최대 퍼블릭 저장소/무료 티어/오픈소스/개인), AWS ECR(CSP/AWS 통합/IAM 연동/AWS 사용자), Azure ACR(CSP/Azure 통합/Geo-replication/Azure 사용자), GCP GCR/AR(CSP/GCP 통합/다중 리전/GCP 사용자), Harbor(프라이빗/오픈소스/자체 호스팅/RBAC/엔터프라이즈), GitHub GHCR(퍼블릭/GitHub 통합/Actions 연동/GitHub 사용자), JFrog Artifactory(상용/멀티 포맷/엔터프라이즈/대기업)

핵심 기능: 이미지 저장(레이어 중복 제거/효율적 저장), 버전 관리(태그/다이제스트 기반), 접근 제어(인증/권한 관리 RBAC), 취약점 스캔(이미지 보안 취약점 검사), 이미지 서명(이미지 무결성/출처 검증 Notary/Cosign), 복제/미러링(지역 간 이미지 복제), Webhook(이미지 푸시 시 CI/CD 트리거)

보안 기능: 취약점 스캔(CVE 기반 검사/Trivy/Clair/내장 스캔), 이미지 서명(디지털 서명/Notary/Cosign/Sigstore), 콘텐츠 신뢰(서명된 이미지만 허용/Docker Content Trust), 불변 태그(태그 덮어쓰기 방지), 정책 적용(취약점 임계치 기반 배포 차단/OPA/Kyverno)

비교: 퍼블릭(누구나 Pull/무료 제한적/공개 이미지/제한적 통제/오픈소스/공개 배포) vs 프라이빗(인증 필요/유료 또는 자체 운영/내부 전용/완전 통제/기업 내부 이미지)

연관: Docker, 컨테이너 이미지, Kubernetes, CI/CD, 보안