Terraform ECR 구현

[junha-ahn]

Description

To do

• Create ECR by Terraform
• Backend Docker image push by git actions

Test Checklist

• 1. koboot repo에서 push 테스트
• 1. koboot에 잘못된 IAM USER로 push 테스트
• 2. EKS에서 pull 테스트
• 3. backend에 push 적용

EKS에서 배포 가능 확인

      containers:
      - image: domain.com/ticketing-ecr:latest
        name: kotlin-app
        ports:
        - containerPort: 80

IAM pull 권한 설정 없이 EKS에서 pull 가능

• 같은 VPC이기 때문에 가능한건가?
• 일단 public하게 open된건 아닌것으로 확인

# my local pc
$ docker pull 213060417361.dkr.ecr.ap-northeast-2.amazonaws.com/ticketing-ecr:6726449abe185748f6079e5503063e5ea55d4537
Error response from daemon: Head "https://213060417361.dkr.ecr.ap-northeast-2.amazonaws.com/v2/ticketing-ecr/manifests/6726449abe185748f6079e5503063e5ea55d4537": no basic auth credentials

[junha-ahn]

module "ecr" {
  source = "terraform-aws-modules/ecr/aws"

  repository_name = "private-example"

  repository_read_write_access_arns = ["arn:aws:iam::012345678901:role/terraform"]

  repository_lifecycle_policy = jsonencode({
    rules = [
      {
        rulePriority = 1,
        description  = "Keep last 30 images",
        selection = {
          tagStatus     = "tagged",
          tagPrefixList = ["v"],
          countType     = "imageCountMoreThan",
          countNumber   = 30
        },
        action = {
          type = "expire"
        }
      }
    ]
  })

  tags = {
    Terraform   = "true"
    Environment = "dev"
  }
}

• from https://registry.terraform.io/modules/terraform-aws-modules/ecr/aws/latest

해석

repository_read_write_access_arns

• The ARNs of the IAM users/roles that have read/write access to the repository
• list(string)

AWS ARN은 "Amazon Resource Name"의 약자로, AWS 리소스를 고유하게 식별하고 명명하는 데 사용되는 형식화된 문자열. ARN은 AWS의 여러 서비스에서 리소스를 식별하는 데 사용되며, 이를 통해 정확한 리소스를 지정하고 권한을 관리할 수 있습니다.

IAM 리소스의 ARN은 다음과 같은 형식을 가집니다:

• IAM 사용자 ARN: arn:aws:iam::account-ID-without-hyphens:user/username
• IAM 그룹 ARN: arn:aws:iam::account-ID-without-hyphens:group/groupname
• IAM 역할 ARN: arn:aws:iam::account-ID-without-hyphens:role/rolename

repository_lifecycle_policy

• https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html#lifecycle_policy_parameters
• v로 시작하는 이미지 중 30개 초과 이미지는 만료

IAM Role

Pirvate ECR 생성 후

1. PUSH (- git actions)
2. READ (- by ArgoCD)

PUSH 권한용 IAM 그룹 생성 후 repository_read_write_access_arns 설정

READ 권한용 IAM 그룹 생성 후 repository_read_access_arns 설정