도커 (Docker)

기술노트

도커 (Docker)

도커는 애플리케이션을 신속하게 구축, 테스트 및 배포할 수 있는 소프트웨어 플랫폼입니다. 도커는 소프트웨어를 컨테이너라는 표준화된 유닛으로 패키징하며, 이 컨테이너에는 라이브러리, 시스템 도구, 코드, 런타임 등 소프트웨어 실행에 필요한 모든 것이 포함되어 있습니다.

도커의 역사

  • 2013년: Solomon Hykes가 dotCloud 회사의 내부 프로젝트로 Docker를 발표
  • 2014년: 회사명을 dotCloud에서 Docker, Inc.로 변경
  • 2015년: Docker 1.0 출시, Docker Hub, Docker Compose, Docker Swarm 등 추가 기능 출시
  • 2017년: Docker Enterprise Edition과 Community Edition으로 제품 라인 구분
  • 2019년: Docker Enterprise 사업부를 Mirantis에 매각, 개발자 도구에 집중

도커의 주요 개념

컨테이너 (Container)

컨테이너는 애플리케이션과 그 의존성을 포함하는 독립적이고 실행 가능한 소프트웨어 패키지입니다.

  • 격리: 각 컨테이너는 다른 컨테이너와 호스트 시스템으로부터 격리됨
  • 경량성: 가상 머신과 달리 호스트 OS 커널을 공유하여 자원 효율성이 높음
  • 이식성: 어떤 환경에서도 동일하게 실행할 수 있음
  • 신속성: 빠르게 시작, 중지, 확장 가능

이미지 (Image)

이미지는 컨테이너를 생성하기 위한 읽기 전용 템플릿입니다.

  • 계층 구조: 베이스 이미지부터 시작하여 각 명령어가 새로운 레이어 생성
  • 불변성: 한 번 생성되면 변경되지 않음
  • 재사용성: 여러 컨테이너의 기반으로 사용 가능
  • 버전 관리: 태그를 통한 버전 관리 지원

Dockerfile

Dockerfile은 도커 이미지를 빌드하기 위한 명령어 집합을 포함하는 텍스트 파일입니다.

주요 명령어:

  • FROM: 베이스 이미지 지정
  • RUN: 명령 실행
  • COPY/ADD: 파일 복사
  • WORKDIR: 작업 디렉토리 설정
  • ENV: 환경 변수 설정
  • EXPOSE: 포트 노출
  • CMD/ENTRYPOINT: 컨테이너 실행 시 기본 명령어 지정

예시: 

FROM node:14
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
EXPOSE 8080
CMD ["node", "server.js"]

레지스트리 (Registry)

레지스트리는 도커 이미지를 저장하고 배포하는 저장소입니다.

  • Docker Hub: 도커의 공식 레지스트리, 공개 및 비공개 이미지 호스팅
  • 사설 레지스트리: 기업 내부 네트워크에서 운영하는 레지스트리
  • 클라우드 레지스트리: AWS ECR, Google Container Registry, Azure Container Registry 등

도커 네트워킹 (Docker Networking)

도커는 컨테이너 간 통신을 위한 다양한 네트워크 드라이버를 제공합니다.

  • bridge: 기본 네트워크 드라이버, 같은 호스트 내 컨테이너 간 통신
  • host: 호스트 네트워크를 직접 사용
  • overlay: 다른 호스트의 컨테이너와 통신
  • macvlan: 컨테이너에 MAC 주소 할당, 물리 네트워크 장치처럼 보이게 함
  • none: 모든 네트워킹 비활성화

볼륨 (Volumes)

볼륨은 도커 컨테이너에서 생성하고 사용하는 영구 데이터를 저장하는 메커니즘입니다.

  • 데이터 지속성: 컨테이너가 삭제되어도 데이터 유지
  • 공유: 여러 컨테이너 간 데이터 공유 가능
  • 유형:
    • Named volumes: 도커가 관리하는 볼륨
    • Bind mounts: 호스트 파일시스템의 특정 경로를 컨테이너에 마운트
    • tmpfs mounts: 임시 파일시스템에 데이터 저장 (메모리)

도커 생태계

도커 컴포즈 (Docker Compose)

여러 컨테이너로 구성된 애플리케이션을 정의하고 실행하기 위한 도구입니다.

  • YAML 설정: docker-compose.yml 파일에 서비스, 네트워크, 볼륨 정의
  • 단일 명령어: 하나의 명령어로 모든 서비스 시작, 중지
  • 로컬 개발 환경: 개발 환경 구성 간소화

예시: 

version: '3'
services:
  web:
    build: .
    ports:
      - "5000:5000"
    depends_on:
      - db
  db:
    image: postgres
    volumes:
      - postgres_data:/var/lib/postgresql/data
volumes:
  postgres_data:

도커 스웜 (Docker Swarm)

도커의 내장된 클러스터링 및 오케스트레이션 솔루션입니다.

  • 노드: 매니저 노드와 워커 노드로 구성
  • 서비스: 클러스터 내의 컨테이너 그룹을 하나의 서비스로 정의
  • 태스크: 개별 컨테이너 인스턴스
  • 스택: 여러 서비스의 집합

쿠버네티스와의 관계

  • 컨테이너 런타임: 쿠버네티스는 도커를 포함한 다양한 컨테이너 런타임 지원
  • 오케스트레이션: 쿠버네티스는 도커 스웜보다 더 복잡하지만 강력한 기능 제공
  • CRI(Container Runtime Interface): 쿠버네티스 1.24부터 도커 지원 중단, containerd로 전환

도커 명령어

이미지 관련 명령어

  • docker build: Dockerfile로부터 이미지 빌드
  • docker pull: 레지스트리에서 이미지 다운로드
  • docker push: 레지스트리에 이미지 업로드
  • docker images: 로컬 이미지 목록 조회
  • docker rmi: 이미지 삭제

컨테이너 관련 명령어

  • docker run: 새 컨테이너 생성 및 시작
  • docker start/stop/restart: 컨테이너 시작/중지/재시작
  • docker ps: 실행 중인 컨테이너 목록 표시
  • docker logs: 컨테이너 로그 출력
  • docker exec: 실행 중인 컨테이너에서 명령 실행
  • docker rm: 컨테이너 삭제

네트워크 관련 명령어

  • docker network create: 네트워크 생성
  • docker network ls: 네트워크 목록 조회
  • docker network inspect: 네트워크 상세 정보 조회
  • docker network rm: 네트워크 삭제

볼륨 관련 명령어

  • docker volume create: 볼륨 생성
  • docker volume ls: 볼륨 목록 조회
  • docker volume inspect: 볼륨 상세 정보 조회
  • docker volume rm: 볼륨 삭제

도커 사용 사례

마이크로서비스 아키텍처

도커는 마이크로서비스 아키텍처를 위한 이상적인 솔루션입니다.

  • 격리: 각 서비스를 독립적으로 컨테이너화
  • 확장성: 개별 서비스를 독립적으로 확장
  • 배포: 개별 서비스 업데이트 용이
  • 기술 다양성: 각 서비스에 최적의 기술 스택 선택 가능

CI/CD 파이프라인

도커는 지속적 통합/지속적 배포 파이프라인을 간소화합니다.

  • 일관된 환경: 개발, 테스트, 프로덕션 환경의 일관성 유지
  • 빠른 빌드/테스트: 경량 컨테이너로 빌드 및 테스트 속도 향상
  • 툴 통합: Jenkins, GitLab CI, GitHub Actions 등과 통합
  • 아티팩트: 도커 이미지를 배포 가능한 아티팩트로 사용

개발 환경 표준화

개발자들이 동일한 환경에서 작업할 수 있도록 합니다.

  • "내 컴퓨터에서는 작동합니다" 문제 해결: 모든 개발자가 동일한 환경 사용
  • 온보딩 간소화: 새 개발자가 빠르게 개발 환경 설정
  • DevOps 문화 촉진: 개발과 운영 간의 일관성 향상

레거시 애플리케이션 현대화

레거시 애플리케이션을 컨테이너화하여 현대적인 인프라로 이전할 수 있습니다.

  • 점진적 현대화: 단계적으로 애플리케이션 구성 요소 현대화
  • 하이브리드 배포: 기존 시스템과 컨테이너화된 시스템 병행 운영
  • 종속성 관리: 레거시 종속성을 포함한 컨테이너 생성

도커의 장단점

장점

  • 이식성: 어떤 환경에서든 일관되게 실행
  • 가벼움: 가상 머신보다 훨씬 적은 자원 사용
  • 빠른 시작 시간: 거의 즉시 시작
  • 격리: 애플리케이션 간 충돌 방지
  • 버전 관리: 이미지 버전 관리 용이
  • 확장성: 필요에 따라 컨테이너 확장 용이
  • 생태계: 방대한 공개 이미지 및 도구 생태계

단점

  • 보안: 잘못 구성된 경우 호스트 시스템 보안 위험
  • 복잡성: 대규모 시스템에서 관리 복잡성 증가
  • GUI 애플리케이션: GUI 애플리케이션에는 제한적
  • 상태 저장 애플리케이션: 상태 저장 애플리케이션 관리의 어려움
  • 성능 오버헤드: 미미하지만 네이티브에 비해 일부 오버헤드 존재

도커 보안

주요 보안 고려사항

  • 최소 권한 원칙: 필요한 최소한의 권한만 부여
  • 이미지 보안: 신뢰할 수 있는 소스의 이미지만 사용
  • 취약점 스캔: Trivy, Clair 등을 사용하여 이미지 취약점 스캔
  • 비밀 관리: 컨테이너 내에 민감한 정보 저장 지양
  • 리소스 제한: CPU, 메모리 등 리소스 사용 제한

보안 모범 사례

  • 공식 이미지 사용: 가능한 공식 이미지나 검증된 이미지 사용
  • 최신 버전 유지: 도커 엔진 및 이미지 최신 버전 유지
  • 루트가 아닌 사용자 사용: 컨테이너 내에서 루트가 아닌 사용자로 실행
  • 읽기 전용 파일 시스템: 가능한 경우 읽기 전용 파일 시스템 사용
  • 불필요한 패키지 제거: 필요한 패키지만 포함하여 공격 표면 최소화
  • 컨테이너 격리 강화: --cap-drop, --security-opt 등 옵션 활용

도커 성능 최적화

이미지 최적화

  • 다단계 빌드: 빌드 도구와 런타임 환경 분리
  • 적절한 베이스 이미지: 요구사항에 맞는 최소한의 베이스 이미지 선택
  • 레이어 최소화: 명령어 결합으로 레이어 수 감소
  • .dockerignore 사용: 불필요한 파일 제외

컨테이너 최적화

  • 리소스 제한: 컨테이너별 CPU/메모리 제한 설정
  • 로깅 최적화: 로그 드라이버와 로그 회전 정책 설정
  • 영구 볼륨 사용: 중요 데이터는 적절한 볼륨 사용
  • 네트워크 최적화: 적절한 네트워크 드라이버 선택 및 구성

도커와 클라우드 네이티브

CNCF(Cloud Native Computing Foundation)

CNCF는 클라우드 네이티브 컴퓨팅을 촉진하기 위한 오픈 소스 소프트웨어 재단입니다.

  • containerd: 도커에서 추출한 코어 컨테이너 런타임, CNCF 졸업 프로젝트
  • 생태계: 쿠버네티스, Prometheus, Envoy 등과 함께 클라우드 네이티브 생태계 구성

클라우드 서비스와의 통합

도커는 주요 클라우드 제공업체의 컨테이너 서비스와 원활하게 통합됩니다.

  • AWS: ECS(Elastic Container Service), EKS(Elastic Kubernetes Service)
  • Azure: ACI(Azure Container Instances), AKS(Azure Kubernetes Service)
  • GCP: GKE(Google Kubernetes Engine), Cloud Run
  • 기타: DigitalOcean, Linode 등의 컨테이너 서비스

도커 대안 및 보완 기술

대안 기술

  • Podman: 데몬리스(daemonless) 컨테이너 엔진, 루트 권한 없이 실행 가능
  • containerd: 도커에서 추출된 핵심 컨테이너 런타임
  • CRI-O: 쿠버네티스를 위해 설계된 경량 컨테이너 런타임
  • LXC/LXD: 시스템 컨테이너에 중점을 둔 기술

보완 기술

  • 쿠버네티스: 컨테이너 오케스트레이션 플랫폼
  • Istio: 서비스 메시 솔루션
  • Helm: 쿠버네티스 패키지 관리자
  • Prometheus: 모니터링 및 경고 시스템
  • Grafana: 메트릭 시각화 도구
  • Portainer: 도커 관리 UI
  • Harbor: 엔터프라이즈급 컨테이너 레지스트리

도커의 미래

최근 동향

  • Docker Desktop: 개발자 경험 향상에 집중
  • Docker Extensions: 써드파티 도구와 통합
  • 개발자 중심 전략: 엔터프라이즈 사업부 매각 후 개발자 도구에 집중
  • Docker+AI: AI 개발 워크플로우 간소화

전망

  • WebAssembly(WASM): Docker+WASM 통합으로 새로운 애플리케이션 유형 지원
  • 멀티 아키텍처 지원 강화: Arm, RISC-V 등 다양한 아키텍처 지원
  • 도구 생태계 확장: 개발자 경험 향상을 위한 도구 생태계 지속 발전
  • 엣지 컴퓨팅: 엣지 환경에서의 컨테이너 활용 증가

결론

도커는 소프트웨어 개발 및 배포 방식을 혁신적으로 변화시켰습니다. 컨테이너화를 통해 애플리케이션을 일관되고 이식 가능한 방식으로 패키징하여 개발, 테스트, 배포 과정을 간소화했습니다. 현대적인 클라우드 네이티브 애플리케이션 개발에 중요한 역할을 하고 있으며, 마이크로서비스 아키텍처, CI/CD 파이프라인, 개발 환경 표준화 등 다양한 사용 사례에서 널리 활용되고 있습니다.

도커는 계속해서 진화하며 새로운 기능과 개선사항을 도입하고 있습니다. 쿠버네티스와 같은 오케스트레이션 도구와 함께 사용할 때 더욱 강력해지며, 클라우드 네이티브 개발의 핵심 구성 요소로 자리 잡았습니다. 개발자와 운영 팀 간의 격차를 줄이고, "어디서나 실행 가능한" 애플리케이션을 구축할 수 있는 능력은 현대 소프트웨어 개발의 중요한 요소입니다.

도커와 컨테이너 기술을 효과적으로 활용하기 위해서는 기본 개념, 보안 고려사항, 성능 최적화 등에 대한 이해가 필요합니다. 이러한 이해를 바탕으로 도커를 활용하면 소프트웨어 개발과 배포 과정을 획기적으로 개선할 수 있습니다.

관련 주제

원본 주소 "https://technote.wiki/index.php?title=도커_(Docker)&oldid=570"