1. Pull Secret

1-1. “이미지 레지스트리 로그인 정보 묶음”

• 풀시크릿은 컨테이너 이미지를 끌어오기(pull)위해 필요한 로그인 정보들을 모아놓은 JSON 파일이다.
• 형식은 Docker의 config.json과 거의 동일

{
  "auths": {
    "quay.io": {
      "auth": "BASE64(username:password)",
      "email": "..."
    },
    "registry.redhat.io": {
      "auth": "..."
    },
    "registry.ocp.test.com:5000": {
      "auth": "..."
    }
  }
}

• 이 내용이
  • ocp 설치할 때는 install-config.yaml안의 pull secret으로 들어가고
  • 설치된 후에는 openshift-config 네임스페이스의 pull-secret 시크릿으로 존재
• 즉, 이 클러스터/ 노드는 어디 이미지 레지스트리에 어떤 계정으로 접근 할 수 있는가? 를 기록한 자격 증명 모음집이라고 보면됨.

1.2 왜 OpenShift 설치에 필수인가?

OCP 4.x 는 설치 중/운영 중에 항상 이미지 레지스트리에서 컨테이너 이미지를 끌어와야 해.

• 부트스트랩/마스터 노드는 다음 이미지를 받아야 함:
  • quay.io/openshift-release-dev/ocp-v4.0-art-dev@sha256:...
  • quay.io/openshift-release-dev/ocp-release:4.18.24-x86_64
  • Operator 이미지들 (registry.redhat.io/...)
• 이 레지스트리들은 **대부분 인증(로그인)**이 필요함.
  • 인증 없이 접근하면 → unauthorized: access to the requested resource is not authorized

그래서 설치할 때:

pullSecret: '{"auths":{"quay.io":{...},"registry.redhat.io":{...}, ...}}'

이렇게 넣어줘야, 부트스트랩/마스터가 처음 부팅할 때부터 올바른 계정으로 로그인 → 이미지 pull이 가능해진다.

1.3 bastion / podman 에서 쓰는 REGISTRY_AUTH_FILE

bastion 에서 podman, oc mirror 등을 사용할 때는 보통:

export REGISTRY_AUTH_FILE=/root/pull-secret.json

podman pull quay.io/openshift-release-dev/ocp-v4.0-art-dev@sha256:...
oc mirror --config=imageset-config.yaml file:///ocp/mirror ...

이렇게 REGISTRY_AUTH_FILE 로 pull-secret 을 지정해준다.

• podman, skopeo, oc mirror 는 이 파일의 .auths 내용을 읽어서

  각 레지스트리에 맞는 토큰/계정으로 로그인한다.