[Docker] Dockerfile(IaC) 개념 및 명령어, Dockerfile 최적화

IaC (Infrastructure as Code, 코드형 인프라)가 필요한 이유

• 커맨드 기반의 인프라 구성 시 사용자 실수 등의 인적 오류 가능성이 높음.
• 설치 순서와 상호 연관성 등을 고려하여 각종 라이브러리와 함께 복잡한 명령어들을 고민하게 되는데 코드형 인프라로 해결 가능.
• 수정사항은 언제든 코드 변경을 통해 가능하다. 따라서 개발 업무 목적을 이루는 것에만 온전히 집중할 수 있다.
• IaC는 탄력성, 확장성, 반복성을 부여하게 되어 눈송이 서버가 아닌 동일한 환경을 보유한 서버(컨테이너)를 수십~수백대를 운영, 관리하게 해준다. 
  
  • 눈송이 서버:  실제 운영 환경은 다양한 서버를 갖고 있다. 개발서버, 테스트서버, 운영서버 등이 있는데 운영을 하다보면 여러가지 변경 사항이 있다. 이때 똑같은 setup을 한다고 해도 테스트서버에선 되던게 운영서버에선 안 되기도 하는 상황이 일어나게된다. 이런 환경을 눈송이 서버라고 한다. 

 

그렇다면 Dockerfile이란 뭘까

 

Dockerfile

• Dockerfile은 Docker에서 동작하는 컨테이너의 구성 정보를 프로비저닝(Provisioning)한 텍스트 template 파일이다. 
  • 프로비저닝은 사용자의 요구에 맞게 시스템 자원을 할당, 배치, 배포해 두었다가 필요 시 시스템을 즉시 사용할 수 있는 상태로 미리 준비해 두는 것
• 따라서 Dockerfile은 애플리케이션 배포에 필요한 컨테이너 인프라를 코드 형태로 정의한 파일이다. 이러한 개념을 IaC, 코드형 인프라 라고 한다.

 

Dockerfile 명령어

FROM (Layer)

• 생성하려는 이미지의 베이스 이미지 지정
• 이미지를 선택할 땐 작은 크기의 이미지(slim)와 리눅스 배포판이 알파인(alpine) 이미지를 권장
• 태그를 넣지 않으면 Latest로 지정

 

MAINTAINER 

• 이미지를 빌드한 작성자 이름과 이메일 작성

 

LABEL (Layer)

• 이미지의 작성 목적이나 정보 등을 작성
• 이미지 관리에 도움

 

RUN (Layer)

• 설정된 기본 이미지에 패키지 업데이트, 설치, 실행 등을 작성
• RUN 명령어의 개별 수를 줄여서 여러 설치 명령을 연결하면 이미지의 레이어 수를 감소시킬 수 있다.

RUN apt update && apt install -y nginx \
	git \
    vim \
    curl

 

CMD

• 생성된 이미지를 컨테이너로 실행할 때 실행되는 명령어
• 여러개의 CMD를 작성해도 마지막 하나만 처리된다. 
• 즉, 이미지가 컨테이너로 실행될 때 동작
• 정적인 이미지 환경 -> 동적인 컨테이너 환경 으로 이동할 때 사용

 

ENTRYPOINT

• CMD와 마찬가지로 생성된 이미지가 컨테이너로 실행될 떄 사용하지만, 다른 점은 컨테이너가 실행될 때 명렁어 및 인자 값을 전달하여 실행한다.
• ENTRYPOINT는 CMD와 다르게 여러 개 실행 가능

 

COPY (Layer)

• 호스트 환경의 파일, 디렉터리를 이미지 안에 복사하는 경우 작성
• 단순한 복사 작업만 지원
• 디렉토리 외부의 파일은 COPY할 수 없다.
• ADD보다 COPY 권장

 

ENV (Layer)

• 이미지 안에 각종 환경 변수를 지정해야 하는 경우가 많음
• 아래와 같이 작성하면 된다.

ENV TZ=Asia/Seoul

 

EXPOSE

• 컨테이너가 호스트 네트워크를 통해 들어오는 트래픽을 리스닝하는 포트와 프로토콜을 지정하기 위해 작성

 

VOLUME

• 볼륨을 이미지 빌드에 미리 설정하는 경우 작성

 

ARG

• docker build 시점에서 변수 값을 전달하기 위해 "--build-arg=인자"를 정의하여 사용
• 비밀 키, 계정 비밀번호 같은 민감한 정보 사용 시 이미지에 그대로 존재하여 노출될 위험이 있으므로 이러한 정보는 주의해야 한다. 

 

 

아래는 JAVA 애플리케이션 Dockerfile 예시이다.

FROM openjdk:11
ARG JAR_FILE=build/libs/app.jar
COPY ${JAR_FILE} ./app.jar
ENV TZ=Asia/Seoul
ENTRYPOINT ["java", "-jar", "./app.jar"]

 

 

 

Dockerfile 최적화

왜 도커 파일을 최적화해야 할까??

• 컨테이너 서비스는 경량의 가상화 서비스를 목적으로 한다.
• Docker에서 제공되는 base image들 또한 지향점에 필요한 프로그램, 라이브러리, 실행파일 만을 보유하고 있음.
• 빠른 컨테이너 배포를 위해 "최소한의 설정과 구성"을 권장하고 있다.

 

최적화 방안

1. 컨테이너 이미지에서 불필요한 바이너리를 모두 제거하여 이미지 크기를 경량화

• 설치된 패키지 파일은 autoremove, clean등의 명령을 통해 제거하면 경량화에 도움된다.

2. Docker에서 제공하는 최소 기본 이미지인 alpine linux 또는 scratch를 사용한다.

3. multi-strage-build를 사용하여 최종 이미지 크기를 최소화

• multi-stage-build는 여러 개의 base image를 사용한 docker build이다.
• FROM 명령어가 2개 이상 사용되어 분리된 작업 공간(stage)를 제공
• 첫 번째 stage에서 생성된 실행파일 등을 두 번째 stage에 제공
• 마지막에 실행된 stage 작업이 Docker image로 최종 생성되어 이미지 크기가 감소한다.
• wget등의 명령어가 보안적인 허점이 있다고 얘기하는데, stage1에서 그런 작업들을 수행하고 stage2에서 사용한다면 이를 예방할 수 있다.

4. Dockerfile 작성 시 생성되는 Layer수 최적화 예로 RUN 사용 시 가능하면 명령을 결합(그룹화)하여 사용

 

 

Dockerfile build 방법

docker build -t IMAGE_NAME:TAG [-f DOCKERFILE_NAME] DOCKERFILE_LOCATION

Docker build 과정

Docker run 과정