Container - Docker개념과 관련 서비스

모든 자료는 온라인으로 제공되는 Naver Cloud의 공인교육과정을 참고하였으며,
Naver Cloud Professional 자격증을 준비하시는 분들께 조금이나마 도움이 될까하여 정리해두었던 내용을 공유합니다.
2023년에 작성된 내용이며, VPC Platform 기반의 강의 내용을 정리한 것이니 참고 바랍니다.

 

 

---

 

☑️ 도커란?

• Container 기반 오픈소스 플랫폼
• 2013년 3월 Python 컨퍼런스에서 Solomon Hykes가 “The Future of Linux Container”세션에서 처음 소개
• 기존에 있던 다양한 resource isolation기술과 network, filesystem 기술들을 잘 조합하고 편의성을 올려 많은 개발자 / 엔지니어들에게 각광받기 시작

 

 

☑️ Docker의 활용 - Dockerfile

컨테이너 환경을 운영할 때 컨테이너 구동을 위한 이미지가 필요한데, 이 이미지를 정의하는 하나의 파일이 Dockerfile이다.

• Dockerfile은 컨테이너 이미지 description file
• Dockerfile을 이용해서 컨테이너 이미지 생성 (build)

 

 

☑️ 일반 VM과 컨테이너의 차이

좌:VM 환경 / 우:컨테이너 환경

• VM은 하이퍼바이저 위에서 구동 Container는 Docker 엔진을 기반으로 구동
  (VM은 단일 시스템에서 여러 OS가 동시실행. 반드시 OS 필요. OS 전체 가상화 방식)
• Container는 동일한 OS(Host OS) 커널을 공유하며 시스템 나머지 부분으로 프로세스를 격리
  (하나의 OS 커널에 각각의 개별 프로세스와 그에 따른 환경을 격리화 시키는 방식)
  ㄴ OS가 올라가지 않아 크기가 작고 경량화 되어있다보니 상대적으로 빠르다.
  ㄴ전체 OS 가상화보다 오버헤드가 적고, 성능 손실이 적다.

 

 

☑️ Docker 특징

• Docker Hub / Docker Registry
  • 사용자에 의해 생성된 이미지는 Docker Redgistry 라는 이미지 저장공간에 업로드 할 수 있고, 다른 사용자의 이미지를 공유하여 사용 가능하다.
  • Docker Hub, Private Registry (NCP Container Registry, AWS ECR …)
• Layerd Image
  
  • Docker는 Union Filesystem 이라는 기술을 이용해 여러 layer를 하나의 파일 시스템으로 인식될 수 있도록 한다.
  • 만약, 이미지에 수정사항이 생기면 Layer를 추가하여 변경분만 기록하고 최상단에는 항상 R/W layer가 존재
  • 공통 부분은 Container들이 공유해 사용함으로써 효율적인 이미지 관리가 가능하다.

Ubuntu → Apach → Web app source → R/W layer

Apach 이미지는 ubuntu 위에 설치

Web app 은 Apach 위에 존재

최상단은 항상 R/W layer

 

 

 

 

☑️  Container Registry 서비스

도커 허브

• 도커 허브란, 실행 가능한 애플리케이션의 이미지를 관리하는 기능을 갖춘 도커의 공식 레포지토리 서비스
• 도커 이미지란, 서비스 운영에 필요한 서버 프로그램, 소스코드, 컴파일된 실행 파일을 묶은 형태를 의미
• 도커 허브를 통해 등록되어 있는 도커 이미지 활용이 가능할 뿐만 아니라, 사용자가 작성한 독자적인 도커 이미지를 도커 허브를 통해 공개할 수 있음

 

Container Registroy

• 컨테이너 레지스트리란, 컨테이너 이미지를 쉽게 저장하고 관리할 수 있는 서비스
• Public / Private Endpoint 모두 제공하므로 컨테이너 업데이트 시 여러 오퍼레이션 사용 가능
  • 네이버 클라우드 플랫폼 외부에서 접근 시 Public Endpoint 사용 , 내부에서 접근 시 Private Endpoint 사용
• 컨테이너 이미지 관리 : object storage 기반의 서비스이므로 컨테이너 조회 및 관리가 용이. 스토리지 용량이나 확장성 측면에서도 좋음.
• 협업 및 접근 제어 : Sub Account 를 사용하여 사용자와 역할별로 서로 다른 권한을 지정할 수 있어, 저장소를 다른 사용자와 공유 가능
• 컨테이너 취약점 분석 : 컨테이너 레지스트리에 등록된 컨테이너 이미지의 이상징후 및 CVE 기반의 보안 취약점을 분석하고, 각 고유 CVE 보안 취약점을 삼각도에 따라 구분. 스캔 결과를 기반으로 취약점을 제거함으로써 컨테이너 보안 강화

•