Docker Network

 

·         Version : Docker

 

Docker network 컨테이너에 내부IP 순차적으로 할당하고 컨테이너가 재시작 때마다 부여된 IP 변경될 있다. 내부IP 도커가 설치된 호스트의 내부망에서만 있기 때문에 외부와 통신을 하기 위해 veth* 라는 네트워크 인터페이스를 생성하여 외부와 통신한다.

 

도커가 설치된 호스트에서 ifconfig ip addr같은 네트워크 명령어로 인터페이스를 확인 해보면 실행중인 컨테이너 만큼 veth* 시작하는 인터페이스가 생성된 것을 있다.

·         eth0 : 내부IP 외부로 통신하기 위한 인터페이스로 호스트의 네트워크 이다. Eth0 네트워크가 veth* 시작하는 네트워크와 통신한다.

·         docker0 : veth* 인터페이스와 바인딩되어 호스트의 eth0 인터페이스와 이어주는 역할을 한다.

 

 

도커가 제공하는 기본적인 네트워크는 bridge, host, none, container, ovelay 있다. 도커를 설치하면 기본적으로 docker0 브릿지를 통해 외부와 통신할 있으며 선택에 따라 여러 네트워크 드라이버를 사용할 있다.

 


도커에서 생성되어 있는 네트워크를 확인은 docker network ls 명령어로 확인할 있다.

docker network ls

 

 

[bridge network]

사용자 정의 브릿지를 새로 생성하여 컨테이너에 연결한다. 컨테이너는 연결된 브릿지를 통해 외부와 통신한다. 아래 명령어로 mybrdge라는 네트워크를 생성할 있다.

docker network create --driver bridge mybridge


 



 

docker run또는 create명령어에 --net 옵션의 값을 설정하면 컨테이너가 해당 네트워크를 사용한다.

docker run -it --name container_name --net mybridge nginx

 

서브넷, 게이트웨이, IP할당 임의로 설정하려면 네트워크를 생성할 아래와 같이 옵션을 추가한다. 주의할 점은 --subnet --ip-range 같은 대역 이어야 한다.

Docker network create --drive=bridge \

--subnet=172.72.0.0/16 \

--ip-range=172.72.0,0/24 \

--gateway=172.72.0.1 \

Mybridge

 

run 명령시 --net-alias 옵션을 함께 쓰면 alias이름으로 여러 개의 컨테이너에 접근할 있다.

docker run -it --name container_name1 --net mybridge --net-alias ali01  nginx

docker run -it --name container_name2 --net mybridge --net-alias ali01  nginx

docker run -it --name container_name3 --net mybridge --net-alias ali01  nginx

 

컨테이너 생성이 완료되면 ping 사용해서 컨테이너로 ping 전송되는 것을 확인할 있다. Ping 전달되는 IP 라운드로빈 방식으로 도커 엔진에 내장된 DNS ali01이라는 호스트 이름을 --net-alias dhqtusdmfh ali01 설정한 컨테이너로 변환(resolve)하기 때문이다.

 

[host]

호스트 네트워크는 호스트의 네트워크 환경을 그대로 사용한다. 호스트 머신에서 설정한 호스트 이름을 컨테이너가 상속받기 때문에 컨테이너의 호스트 이름도 무작위 16진수가 아닌 도커 엔진이 설치된 호스트 머신의 호스트 이름을 설정 된다.

docker run -it --name container_name --net host nginx

 

컨테이너의 네트워크를 호스트로 설정할 경우 별도의 포트 포워딩 필요없이 바로 서비스가 가능하다.

 

[none]

어떠한 네트워크도 사용하지 않겠다는 뜻이다. 외부와의 연결이 단절된다.

docker run -it --name container_name --net none nginx

 

[container]

네트워크는 다른 컨테이너의 네트워크 환경을 공유할 있다. 공유되는 속성은 내부 IP, 네트워크 인터페이스의 MAC 주소 등이다. 사용법은 --net container:[컨테이너ID] 이다.

docker run -it --name container_name --net container:container_id nginx

 

[overlay]

여러 도커 데몬 호스트 사이에 분산 네트워크를 만든다. 네트워크는 호스트 특정 네트워크 상단에 위치하여(오버레이) 호스트 서비스 네트워크에 연결된 컨테이너(swarm 서비스 컨테이너 포함) 안전하게 통신할 있다. 도커는 대상 컨테이너간에 패킷 라우팅을 투명하게 처리 한다. swarm 초기화 하거나 docker호스트를 기존 swarm 가입 시키면 해당 도커 호스트에 개의 새로운 네트워크가 생성된다.

·         오버레이 네트워크라 불리는 Ingress swarm 서비스와 관련된 제어 데이터 트래픽을 처리한다. swarm 서비스를 생성하고 사용자 정의 오버레이 네트워크에 연결하지 않으면 기본적으로 ingress 네트워크에 연결된다.

docker network create -d overlay my-overlay

 

독립 실행형 컨테이너가 다른 docker 데몬에서 실행되는 다른 독립 실행형 컨테이너와 통신하기 위해 사용할 잇는 오버레이 네트워크를 만들려면 --attachable 옵션을 사용한다.

docker network create -d overlay --attachable my-attachable-overlay

 

·         브릿지 네트워크라 불리는 docker_gwbrdge 브릿지 네트워크를 만드는것과 동일하게 docker network create 사용하여 사용자 정의 오버레이 네트워크를 만들 있다. 서비스 또는 컨테이너는 한번에 이상의 네트워크에 연결할 있다. 서비스 또는 컨테이너는 각각 연결된 네트워크를 통해서만 통신할 있다.

docker network create \

--subnet 10.11.0.0/16 \

--opt com.docker.network.bridge.name=docker_gwbridge \

--opt com.docker.network.bridge.enable_icc=false \

--opt com.docker.network.bridge.enable_ip_masquerade=true \

docker_gwbridge

 

swarm 서비스와 독립 실행형 컨테이너 모두 오버레이 네트워크에 연결할 있지만 기본 동작 구성 관련 사항은 다르다. 이러한 이유로 오버레이 네트워크에 적용되는 작업, swarm 서비스 네트워크에 적용되는 작업 독립 실행형 컨테이너에 사용되는 오버레이 네트워크에 적용되는 작업으로 나뉜다.

 

모든 swarm 서비스 관리 트래픽은 기본적으로 GCM모드의 AES알고리즘을 사용하여 암호화 된다. Swarm 관리자 노드는 12시간 마다 데이터를 암호화하는데 사용되는 키를 변화시킨다. 오버레이 암호화를 활성화하면 도커는 오버레이 네트워크 연결된 모든 서비스에 대해 IPSEC 터널을 만들어 통신한다.

 

 

[참고자료]

·         Docker Network Overview :  https://docs.docker.com/network/

·         Bridge networks : https://docs.docker.com/network/bridge/

·         Overlay neworks : https://docs.docker.com/network/overlay/

·         Host networks : https://docs.docker.com/network/host/

·         Disable networks : https://docs.docker.com/network/none/

 

 

 

2019-02-20 / Sungwook Kang / http://sqlmvp.kr

 

Docker, docker network, ingress, overlay, container, host, 도커 네트워크, swarm

Docker Compose

-         여러개의 컨테이너를 설정하고 생성하기

 

·         Version : Docker

 

Docker compose 명령은 여러개의 컨테이너 옵션과 환경을 정의한 파일을 읽어 컨테이너를 순차적으로 생성한다. 도커 컴포즈의 설정 파일(docker-compose.yml) run 명령어 옵션을 그대로 사용할 있으며 컨테이너의 의존성, 네트워크, 볼륨, 컨테이너 등을 유동적으로 조절할 있다.  예를 들어 파이썬 프로그램이 구동되는 컨테이너와 데이터를 저장하는 redis 서버,  웹서버 컨테이너를 실행한다고 , 각각의 run 명령어 다양한 옵션으로 컨테이너를 생성하고 테스트하기에는 매우 번거롭다. 이때 도커 컴포즈를 활용하면 편리하다.

 

도커 컴포즈는 컨테이너 설정이 정의된 YAML 파일을 읽어 도커 엔진을 통해 컨테이너를 생성한다.


아래 스크립트는 docker-compose.yml 예제 스크립트이다. YAML 파일에서 들여쓰기 , 도커 컴포즈는 TAP 인식하지 못하기 때문에 2개의 공백(Space) 사용하여 하위 항목을 구분한다.

[docker-compose.yml]

version: "3"

services:

  web:

    # replace username/repo:tag with your name and image details

    image: username/repo:tag

    deploy:

      replicas: 5

      restart_policy:

        condition: on-failure

      resources:

        limits:

          cpus: "0.1"

          memory: 50M

    ports:

      - "80:80"

    networks:

      - webnet

  visualizer:

    image: dockersamples/visualizer:stable

    ports:

      - "8080:8080"

    volumes:

      - "/var/run/docker.sock:/var/run/docker.sock"

    deploy:

      placement:

        constraints: [node.role == manager]

    networks:

      - webnet

  redis:

    image: redis

    ports:

      - "6379:6379"

    volumes:

      - "/home/docker/data:/data"

    deploy:

      placement:

        constraints: [node.role == manager]

    command: redis-server --appendonly yes

    networks:

      - webnet

networks:

  webnet:

·         Version : YAML 파일 포맷 버전

·         Service : 생성될 컨테이너들을 묶어 놓는 단위. 서비스 항목 아래에 컨테이너에 적용될 옵션을 지정

·         Web, visualizer, redis : 생성될 서비스 이름. 항목 아래에 컨테이너가 생성될 필요한 옵션을 지정

·         image : 컨테이너를 생성할 사용될 이미지 이름

·         link : docker run --link 같으며 다른 서비스에서 서비스명만으로 접근할 있도록 설정

·         environment : docker run --env, -e 옵션과 동일. 컨테이너 내부에서 사용할 환경변수 지정

·         command : 컨테이너가 실행될 수행할 명령어를 설정.

·         ports : docker run -p 같으며 컨테이너를 개방할 포트를 설정.

·          

 

도커 컴포즈 관련 옵션은 매우 다양하게 지원되므로 자세한 내용은 공식 문서를 참고 있도록 한다.

·         Get Started with Docker Compose : https://docs.docker.com/compose/gettingstarted/

 

도커 컴포즈로 컨테이너를 생성하는 명령은 docker-compose up -d이다. 어떠한 설정도 하지 않으면 기본적으로 로컬 디렉터리의 docker-compose.yml 파일을 읽어 로컬의 도커 엔진에서 생성한다. 컨테이너 생성이 완료되면 docker ps에서 실행된 컨테이너를 확인할 있다.

docker-compose up -d

 

 

 

 

[참고자료]

·         Get Started with Docker Compose : https://docs.docker.com/compose/gettingstarted/

 

 

2019-02-17 / Sungwook Kang / http://sqlmvp.kr

 

Docker,  dockerfile, docker build, 도커 파일, 도커 이미지 생성, dockerfile reference, docker compose, 도커 컴포즈, 도커 컨테이너, docker container

Docker build

-         Dockerfile 이용해서 이미지 생성하기

 

·         Version : Docker

 

Docker build 명령은 dockerfile 이용해서 이미지를 만드는 작업을 한다. dockerfile에는 이미지 생성시 필요한 작업이 스크립트로 작성되어 있다.

·         dockerfile : http://sqlmvp.kr/221465287824

 

아래 스크립트는 docker build 사용해서 이미지를 생성한다.

docker build -t makeimage:0.0 ./

 

·         -t : 생성될 이미지의 이름을 설정. 스크립트에서는 makeimage:0.0 라는 이름의 이미지가 생성된다. -t 옵션을 사용하지 않으면 16진수 형태의 이름으로 이미지가 생성된다.

·         ./ : build 명령어 끝에는 dockerfile 저장된 경로를 입력한다. 로컬 디렉터리의 dockerfile 사용할 수도 있으며 외부 URL로부터 dockerfile 내용을 가져와 빌드할 있다. 예제에서는 로컬의 현재 디렉터리(./) 입력했다.

 

Build 시작하면 dockerfile 내용이 실행되며 실행 단계가 출력된다.

 


빌드가 완료되면 docker image에서 생성된 이미지를 확인할 있다.

 


docekrfile에서 명령어가 하나씩 실행될 때마다 새로운 컨테이너가 하나씩 생성되며 이미지로 커밋한다. 명령어가 실행될 때마다 이전 스텝의 이미지에 명령어가 실행되고 새로운 이미지 레이어로 저장된다.

[출처 : https://openliberty.io/blog/2018/06/29/optimizing-spring-boot-apps-for-docker.html]

 

dockerfile 만들 주의할 점은 불필요한 작업으로 이미지 사이즈가 커지지 않도록 해야 한다. 예를들어 100MB 크기의 파일을 만들어 컨테이너에 할당하고 다시 삭제하는 명령이 있을때, dockerfiles 이미지를 빌드하면서 단계마다 이미지 레이어를 만드는데,  최종 빌드가 완료된 상태에서 이미지에는 100MB크기의 파일이 존재하지 않지만 이미지의 크기는 기존 이미지에 100MB 더한 크기를 가지고 있다. , 파일을 삭제 했다는 레이어를 가지고 있으므로 실제론 파일이 없더라고 공간은 차지한다. 이러한 현상을 방지하기 위해서는 dockerfile 작성할때 && 기호로 run 명령을 하나로 묶는것이다. 여러개의 명령을 run  하나에서 실행하도록 하면 된다.

FORM ubuntu:14.04

RUN mkdir /test && dummyfile -l 100m /test/dummy && rm /test/dummy

 

만약 다른 사람이 빌드한 이미지에 불필요한 이미지 레이어가 있으면 해당 이미지로 컨테이너를 생성하고  docker export, import 명령어를 사용해 컨테이너를 이미지로 만들면 레이어가 1개로 줄어들어 이미지의 크기를 줄일 있다. 그러나 이전 이미지에 저장된 각종 이미지 설정은 삭제되므로 주의해야 한다.

 

Docker build 다양한 옵션이 있으므로 공식 문서를 참고할 있도록 한다.

·         docker build : https://docs.docker.com/engine/reference/commandline/build/

 

 

2019-02-14 / Sungwook Kang / http://sqlmvp.kr

 

Docker,  dockerfile, docker build, 도커 파일, 도커 이미지 생성, dockerfile reference

Docker file

-         이미지 생성시 필요한 작업을 스크립트로 만들기

 

·         Version : Docker

 

컨테이너를 생성하는 방법은 베이스 이미지를 이용하여 위에 다양한 애플리케이션을 설치하는 방법, 또는 이미 모든 환경이 구성된 컨테이너를 이미지로 만드는 방법 다양하다.

·         Docker Image생성 : http://sqlmvp.kr/221461385385

·         Docker Image 추출 : http://sqlmvp.kr/221463568253

 

이번 포스트에서는  Dockerfile 이용해서 이미지를 생성하는 방법에 대해서 알아본다. Dockerfile 이미지를 생성하기 위해 컨테이너에 설치해야하는 패키지, 추가해야하는 소스코드, 실행시 필요한 명령어, 스크립트 등을 하나의 파일로 생성한 것이다. Build명령을 실행하면 Dockerfile 읽어 이미지를 생성한다. Dockerfile 사용하면 직접 컨테이너를 생성, 커밋, 배포하는 번거로움을 있으며 배포 자동화에 용이하다.

 

도커 엔진에서는 Dockerfile 읽어들일때 기본적으로 현재 디렉터리에 있는 Dockerfile이라는 이름을 가진 파일을 선택한다. 아래 스크립트는 Dockerfile 예시이며 명령의 기능에 대해서 살펴본다.

 


# Use an official Python runtime as a parent image

FROM python:2.7-slim

 

LABEL "purpose"="practice"

 

# Set the working directory to /app

WORKDIR /app

 

# Copy the current directory contents into the container at /app

COPY . /app

 

# Install any needed packages specified in requirements.txt

RUN pip install --trusted-host pypi.python.org -r requirements.txt

 

# Make port 80 available to the world outside this container

EXPOSE 80

 

# Define environment variable

ENV NAME World

 

# Run app.py when the container launches

CMD ["python", "app.py"]

 

Dockerfile 명령은 위에서 아래로 차례대로 실행한다.

·         FROM : 생성할 이미지의 베이스 이미지를 입력한다. 이미지가 로컬에 없다면 자동으로 도커허브에서 pull 한다.

·         LABEL : “:형태로 이미지에 메타데이터 추가. 추가된 메타 데이터는 docker inspect 명령어로 확인가능.

·         WORKDIR : 명령어를 실행할 디렉터리를 나타냄. Bash에서 cd 명령과 동일한 기능이다.

·         COPY : 로컬 디렉터리의 파일을 이미지에 복사하는 역할. ADD 다른 점은 COPY 로컬 디렉터리만 가능하고 ADD 외부 URL tar 파일도 추가 가능하다.

·         RUN : 이미지를 만들기 위해 컨테이너 내부에서 명령어를 실행.

·         EXPOSE : Dockerfile 빌드로 생성된 이미지에서 노출할 포트를 설정

·         CMD : 컨테이너가 시작될 때마다 실행할 명령어(커맨드) 설정, Dockerfile에서 한번만 사용할 있다.

 

위의 예제를 정리해보면 아래와 같다.

Python:2.7-slim 베이스 이미지를 사용하며 생성될 이미지의 라벨은 “purpose=practice” 설정한다. 작업디렉터리를 /app 변경한다음 로컬의 ./app 디렉터리의 내용을 이미지로 복사한다. 그리고 pip inatall명령을 컨테이너 내부에서 실행하고 컨테이너는 80 포트를 사용한다. 마지막으로 python 명령으로 app.py 실행한다.

 

Dockerfile 다양한 명령어를 지원하며 자세한 내용은 아래 링크를 참고 한다.

·         Dockerfile reference : https://docs.docker.com/engine/reference/builder/

 

 

 

 

2019-02-13 / Sungwook Kang / http://sqlmvp.kr

 

Docker,  dockerfile, docker build, 도커 파일, 도커 이미지 생성, dockerfile reference

+ Recent posts