Docker 고급: 컨테이너화 마스터하기

분야

프로그래밍/소프트웨어 개발

대상자

경험 많은 개발자, Docker 기본 명령어(docker run, docker build)를 넘어선 복잡한 프로덕션 환경 구축에 도움이 필요한 분

난이도: 고급 수준

핵심 요약

• *핵심 개념**:
• Docker Compose YAML은 다중 컨테이너 애플리케이션의 인프라 스택을 선언적으로 정의합니다.
• 리소스 제한은 컨테이너 리소스 contention을 방지하고 호스트 시스템 보호를 제공합니다.
• 헬스체크는 서비스 가용성을 확인하고 자동 재시작, 의존성 관리, 오케스트레이션 수준의 서비스 발견을 가능하게 합니다.
• 네트워크 분리화는 보안 경계를 생성하고 트래픽 흐름을 명확히 관리합니다.
• secret 관리는 환경 변수 대신 파일로 보안 정보를 처리해 자격 증명 유출을 방지합니다.

섹션별 세부 요약

1. 빌드 컨텍스트 및 인자

• context: ./backend와 dockerfile: Dockerfile.production은 빌드 컨텍스트와 Dockerfile 위치를 분리해 복잡한 빌드 설정과 파라미터화된 빌드를 가능하게 합니다.
• args를 통해 BUILD_ENV=production 같은 빌드 인자를 전달해 환경에 따른 빌드 유연성을 제공합니다.

2. 리소스 제한

• deploy.resources.limits를 설정해 CPU(cpus: '0.50') 및 메모리(memory: 512M)의 하드 제한을 설정해 호스트 시스템 보호를 강화합니다.

3. 헬스체크

• healthcheck 설정은 서비스가 가동 중인지 확인하고, 실패 시 자동 재시작, 의존성 순서 관리, 오케스트레이션 수준의 서비스 발견을 지원합니다.
• interval, timeout, retries 등을 통해 서비스 상태를 주기적으로 점검하고, 40초의 스타트 기간을 제공해 부드러운 시작을 보장합니다.

4. 네트워크 구성

• frontend 네트워크의 internal: true 설정은 해당 네트워크 내 컨테이너가 인터넷으로의 외부 연결을 차단해 보안 경계를 설정합니다.
• networks 섹션에서 frontend, backend의 IP subnet 설정은 트래픽 흐름을 명확히 관리하고, 정적 IP 할당은 레거시 시스템과의 통합에 유리합니다.

5. 볼륨 및 Secret 관리

• db-data 볼륨은 호스트의 /mnt/data/postgres 경로를 컨테이너의 /var/lib/postgresql/data에 매핑해 데이터 무결성을 보장합니다.
• secrets 섹션에서 api_key, db_password는 파일로 마운트되며, 프로세스 목록이나 오류 로그에 자격 증명 유출을 방지합니다.

6. 네트워크 분리화 및 인프라 코드화

• 네트워크 분리화: 프론트엔드 서비스는 frontend 네트워크, 백엔드 서비스는 backend 네트워크, 데이터베이스는 고립된 네트워크에서 운영됩니다.
• 인프라 코드화: 모든 환경(개발, 스테이징, 프로덕션)에서 동일한 설정을 사용해 일관성을 유지하고, 버전 관리로 재현 가능성을 확보합니다.

결론

• Docker Compose를 통해 선언적 구성, 헬스체크, 리소스 관리, 네트워크 분리화, Secret 관리로 프로덕션 수준의 시스템을 구축할 수 있습니다.
• 인프라 코드화는 버전 관리, 재현 가능성, 보안 설계, 재해 복구를 가능하게 하며, Kubernetes와 같은 오케스트레이션 플랫폼으로의 이전을 위한 기초가 됩니다.
• 핵심 팁: 서비스 의존성을 명시적으로 관리하고, 네트워크 분리화로 보안을 강화하며, 리소스 제한으로 시스템 최적화를 실현하세요.