Backend Master | 3.4.5 Deploy - Docker Principal @author 하유리 @date 18.07.29 # Study Curriculum : https://github.com/Backend-Masters/report

1. Docker 작동기술

2. Docker
Docker 란 OS 가상화 기술인 컨테이너를
관리 , 생성 , 실행 , 배포하기 위한 오픈소스

3. 컨테이너
● VM 과의 차이를 더 상세히 참고 ) https://www.slideshare.net/BodenRussell/kvm-and-docker-lxc-benchmarking-with-openstack
장점 단점
● 빠른 시작과 종료
OS 입장에서는 단순한 프로세스 실행 & 종료
● 오버헤드가 낮음
GuestOS 가 없이 Host OS 자원을 공유하므로
가상화의 오버헤드가 적음
● 자원의 효율적 사용
애플리케이션 동작에 필요한 자원으로 구성
● Host OS 에 종속적
단일 하드웨어에 다양한 OS 의 사용이 필요한
경우 VM 을 사용해야 함 .
● 각각의 컨테이너에 독립된 커널 구성이
불가능함
커널 자원을 공유하기 때문에 컨테이너가 사용
하는 커널 환경은 동일
● Container 란 ? 격리된 공간에서 프로세스가 동작하는 기술 .

4. Docker 구성요소

5. Docker 에서 사용되는 기술
- LXC(LinuX Container), namespaces, cgroup, etc, ...

6. Docker 컨테이너 생성 및 관리
● LXC
- 초기 Docker 에서 사용된 Linux 용 컨테이너 관리 기술
● libvirt
- libvirt 는 가상머신을 수행하며 공통 API 에 제공하는 라이브러리에서 다양한 가상화를 지
원하며 그 중에서도 LXC 를 지원
● libcontainer
- Docker version 0.9 이후부터 default 로 사용
- Linux 플랫폼에 의존적인 LXC 를 대체하기 위해 Docker 에서 만든 컨테이너 기술
Host OS 의존성을 제거해 다양한 플랫폼 지원 (Red Hat, Microsoft Windows, etc)
- libcontainer -> runC (libcontainer 의 리팩토링 구현체 ) 로 자체 구현체를 가짐
● Systemd
- 일부 리눅스 배포판에서 최종적으로 모든 프로세스들을 관리하는 init 시스템 .
- Systemd 라는 이름 뒤에 추가된 명칭은 유닉스에서의 데몬을 나타낸다 .

7. 리눅스 컨테이너 (LXC)
● LXC (LinuX Contianer)
- chroot 가 기원 (chroot : 시스템을 보호하기 위해 특정 경로를 최상위 경로에 보이게함 )
- namespace, cgroup 를 사용해 컨테이너를 생성 및 관리함

8. LXC vs runC (libcontianer 구현체 )

9. Docker Engine, containerd, runc
● Docker Engine
-Doker 의 진입점
-Docker 이미지 , 오케스트레이션 , 볼륨관리 , 네트워킹 확장 등을 담당
-Docker 엔진에 이미지 실행을 요청하면 containerd 데몬에 책임을 위임
● Containerd
- 컨테이너 이미지를 저장하고 전송
- 루트 파일시스템을 만들고
-runc 호출하여 컨테이너를 시작
- 컨테이너 관리
- 저수준의 스토리지와 네트워크 인터페이스 관리
● runC
- 컨테이너의 실행 시작을 담당하는 프로세스 .
-libcontainer 의 리팩토링 구현체 .

10. ● 프로세스 테이블
컨테이너마다 별도의 프로세스 테이블을 관리
특정 컨테이너의 프로세스에서 다른 컨테이너의 프로세스로 접근할 수 없음
● CPU, 메모리 장치 ( “/dev” 다음 장치 파일 )
컨테이너에서 사용할 수있는 범위를 제한
● 파일 시스템
컨테이너마다 특정 디렉토리를 루트 파일 시스템으로 보이게 함 .
● 네트워크
네트워크 네임 스페이스 (netns) 의 기능으로 컨테이너마다 별도의 네트워크 설정 구성 .
veth 라는 가상 NIC 장치를 이용하여 veth 의 한쪽을 컨테이너 내부 네임 스페이스에 할당
Docker 자원의 가상화

11. Docker 에서 사용되는 기술

12. 컨테이너 구분 : namespace
namespace 기능
PID 독립적인 프로세스 공간 할당
Network 네트워크 디바이스 , IP Address, 포트 번호 , 라우팅 테이블 , 필터링
테이블 등 네트워크 리소스를 namespace 별로 할당 가능
UID 독립적인 사용자 할당
User ID(UID) 와 Group ID(GID) 공간을 격리
namespace 외부에 있는 user 나 group 이 내부의 공간을 보거나 건드릴 수
없음
Mount
파일 시스템 추상화를 위해 사용
마운트를 조작하여 namespace 내에 파일 시스템 트리를 구성
UTS namespace 별로 호스트명과 도메인 명을 독자적으로 가질 수 있음
IPC 공유 메모리 , 큐 , 세마포어 등 프로세스 간의 통신 (IPC, Inter-Process
Communication) 자원을 분리 할 수 있음

13. 리소스 관리 : cgroup
항목 기능
cpu CPU 사용량 제한
cpuacct CPU 사용량 통계 정보 제공
cpuset CPU 와 메모리 배치 제어
memory 메모리와 swap 사용량 제한
devices 디바이스 엑세스 허가 및 제한
freezer 그룹에 속한 프로세스 정지 및 재개
net_cls 네트워크 제어 태그 추가
blkio 블록 디바이스 입출력 량 제어
- 컨테이너에 할당하는 자원을 조정하는데 사용
- 프로세스 및 Thread 를 그룹화하여 관리하는 기능
- Host OS 의 CPU, 메모리와 같은 리소스를 그룹별로 제한 가능
-다음과 같은 주요 서브 시스템 관리 가능
-계층구조로 프로세스를 그룹화하여 관리가능
-하위 cgroup 은 상위 cgroup 의 제한 설정이 그대로 적용

14. 이미지 데이터 관리 : Union File System
● Btrfs
Linux 용 Copy on Write 파일 시스템 .
subvolume 기능과 snapshot 기능을 사용하여
컨테이너 이미지의 변경을 파일 시스템 층에서 관리
● AUFS
서로 다른 파일 시스템의 파일과 디렉터리를 중첩하여 하나의 파일트리를 구성할 수 있는 파일 시
스템
● Device Mapper
Linux 블록 디바이스 드라이버와 이를 지원하는 라이브러리 . 파일 시스템의 블록 I/O 와 디
바이스 매핑을 관리 . 개별 파일 시스템에 의존하지 않아 다양한 환경에서 사용 가능
● overlay
Union filesystem 의 하나로 파일 시스템에 또 다른 파일 시스템을 합치는 구조

15. Docker 이미지 수정 및 업데이트

16. Docker Networking ( 가상 bridge 및 가상 NIC)
- Docker 컨테이너는 서버의 물리 NIC 와 별도로 각 컨테이너 마다 가상 NIC 할당
- Default gateway 로 Linux bridge 인 docker0 를 만듦
· 외부 네트워크와 교환하는 페킷에 NAT 작업 수행
· 컨테이너 간 네트워크 연결
- 각 컨테이너에 격리된 네트워크 공간을 만들고 컨테이너의 eth0 에 static IP 할당
- 컨테이너 내부의 eth0 와 docker0 로 연결된 veth 인터페이스를 연결해 컨테이너 외부와 통신

17. ● Docker 컨테이너간 통신
- 링크 기능을 사용한 통신
( 동일 호스트상인 bridge docker0 에 접속한
컨테이너끼리만 가능 )
● Docker 컨테이너와 외부 네트워크 통신
- 가상 bridge docker0 와 호스트 OS 의 물리
NIC 에서 패킷을 전송
(NAPT 기능을 사용하여 접속 )
Docker Networking (Docker 컨테이너간 통신 )

18. Docker Security
● Capability
프로세스가 가지는 권한을 세분화 관리하는 기능
컨테이너 내에서 호스트에 악영향을 미치지 않도록 제어
● SElinux
강제 액세스 제어 기능
Docker 는 컨테이너 시작할 때 SElinux MCS 레이블을 컨테이너에 부여하고 컨테이너 프로세
스의 동작을 컨테이너로 제한함
● AppArmor
강제 접근 제어를 위해 DTE, RBAC, MLS 를 지원
타 보안 프레임워크에 비해 사용 및 정책관리가 편리

19. 참고링크
● [Docker] 완벽한 IT 인프라 구축을 위한 Docker: 제 2 장 컨테이너 가상화 기술과 Docker 요약
http://miiingo.tistory.com/88?category=644188
● Docker(container) 의 작동 원리 : namespaces and cgroups
https://tech.ssut.me/2017/08/15/what-even-is-a-container/
● what is Docker? ( 가상화 , LXC, 이미지 )
https://kbss27.github.io/2017/04/09/whydocker/
● Docker Network 구조 (1) - docker0 와 container network 구조
http://bluese05.tistory.com/15
● Docker Container
https://www.slideshare.net/rkawkxms/docker-container
● 도커 아키텍쳐 및 동작원리
http://gyus.me/?p=512
● 도커 그리고 Linux 컨테이너 기술들
http://www.opennaru.com/openshift/docker/what-is-the-difference-between-docker-lxd-and-lxc/
● 도커 vs LXC 비교
http://wiki.rockplace.co.kr/pages/viewpage.action?pageId=3868344
● What is Containerd ?
https://blog.docker.com/2017/08/what-is-containerd-runtime/
● What is docker ?
https://indrabasak.wordpress.com/2017/04/03/what-is-docker/
● Docker 에서 지원하는 Linux Kernel 의 기능 ( 요약편 )  일본사이트
http://blog.etsukata.com/2014/05/docker-linux-kernel.html
● docker 가 libcontianer 를 시작한 이유
https://www.zdnet.com/article/docker-libcontainer-unifies-linux-container-powers/
● docker 0.9 : libcontianer 실행드라이버 소개
https://blog.docker.com/2014/03/docker-0-9-introducing-execution-drivers-and-libcontainer/