Dockerfile 모범 사례: 더 간결하고 빠르며 안전한 Docker 이미지 구축

Docker는 현대 소프트웨어 개발에서 없어서는 안 될 필수 도구가 되었으며, 팀이 전례 없는 일관성과 편리함으로 애플리케이션을 구축, 배포 및 실행할 수 있도록 지원합니다. 이러한 컨테이너화의 핵심에는 Docker 이미지를 생성하기 위한 청사진 역할을 하는 간단하면서도 강력한 스크립트인 Dockerfile이 있습니다.

효율적인 Dockerfile 빌드 프로세스를 구축하는 것은 단순한 기술적 연습 이상의 의미를 지닙니다. 이는 개발 주기 단축, 더욱 작고 안전한 애플리케이션 용량, 그리고 안정적인 배포를 위한 중요한 발판이 됩니다. Docker를 처음 접하는 사용자든, 기존 기술을 더욱 발전시키고자 하는 사용자든, 이 가이드는 실용적이고 효율적이며 안전한 Dockerfile을 작성하는 데 필요한 핵심 사항들을 안내합니다.

Docker 생태계 이해하기: 간단한 복습

Dockerfile을 자세히 살펴보기 전에 Docker의 주요 개념들을 간략하게 살펴보겠습니다

• 이미지: 이미지는 소프트웨어 실행에 필요한 모든 것(코드, 런타임, 라이브러리, 환경 변수, 설정 파일 등)을 포함하는 경량의 독립 실행형 패키지입니다. 이미지 는 변경 불가능한 템플릿입니다.
• 컨테이너: 컨테이너는 이미지의 실행 가능한 인스턴스입니다. 컨테이너는 생성, 시작, 중지, 이동 또는 삭제할 수 있습니다. 컨테이너는 애플리케이션을 위한 격리된 환경을 제공합니다.
• Dockerfile: 이것이 우리의 핵심입니다. Dockerfile은 Docker가 이미지를 자동으로 구성하는 데 사용하는 일련의 명령어가 포함된 텍스트 문서입니다.
• Docker Hub/레지스트리: 이는 코드용 GitHub와 유사하게 Docker 이미지를 저장하고 공유하는 저장소입니다.

잘 작성된 Dockerfile은 가능한 한 가볍고, 빌드 속도가 빠르며, 안전한 이미지를 생성

Docker 빌드 플래그 설명

• `-t myapp:1.0` : 이 플래그는 이미지에 이름(myapp)과 버전(1.0)을 태그합니다. 태그를 사용하면 버전 관리가 쉬워지고, 특히 배포하거나 레지스트리에 푸시할 때 특정 이미지 빌드를 쉽게 참조할 수 있습니다.

• . (점) : 이는 빌드 컨텍스트를 나타냅니다. Docker가 Dockerfile 및 빌드 과정에서 필요한 기타 파일(예: 이미지에 복사할 파일)을 찾아야 하는 디렉터리입니다.
  Docker는 이 디렉터리의 내용을 압축하여 Docker 데몬으로 전송합니다. 빌드 과정 중에는 빌드 컨텍스트 내의 파일만 접근할 수 있다는 점에 유의해야 합니다.

Dockerfile 필수 사용법: 구성 요소

가장 일반적인 지침과 이를 효과적으로 사용하는 방법을 살펴보겠습니다.

1. 에서: 모든 Dockerfile은 반드시 `FROM` 명령으로 시작해야 합니다. 이 명령은 빌드에 사용될 기본 이미지를 지정합니다.
   • 목적: 시작점을 선택하기 위한 것으로, 일반적으로 운영 체제(예: Ubuntu:22.04) 또는 사전 구성된 애플리케이션 런타임(예: node:18-alpine)을 선택합니다.
   • 예시 : FROM python:3.9-slim
   • 모범 사례: 애플리케이션 요구 사항을 충족하는 최소한의 기본 이미지를 선택하십시오. Alpine 버전은 크기가 작지만 musl libc를 사용하므로 일부 C 종속 패키지와 호환성 문제가 발생할 수 있습니다. Slim 버전은 glibc를 사용하는 표준 배포판(예: Debian)의 간소화된 버전으로, 좋은 절충안입니다.
2. WORKDIR: 이 설정은 w를 설정합니다이후의 RUN, CMD, ENTRYPOINT, COPY 및 ADD 명령에 사용할 작업 디렉터리입니다.
   • 목적: 이후 파일 작업 및 명령 실행을 위해 이미지 내의 현재 디렉터리 컨텍스트를 정의합니다. 디렉터리가 존재하지 않으면 Docker가 생성합니다.
   • 예시: WORKDIR /usr/src/app
   • 모범 사례: WORKDIR에는 절대 경로를 사용하십시오. WORKDIR을 사용하여 여러 번 디렉터리를 변경하는 것이 RUN 명령 내에서 cd ​​명령을 연속적으로 사용하는 것보다 일반적으로 더 깔끔합니다.
3. 복사: 빌드 컨텍스트의 파일 또는 디렉터리를 이미지의 파일 시스템으로 복사합니다.
   • 목적: 애플리케이션 코드, 구성 파일 및 기타 필요한 자산을 이미지에 추가합니다.
   • 예:

Dockerfile

WORKDIR /usr/src/app
COPY package.json ./
COPY src/ ./src/

• 권장 사용법: 간단한 파일 복사에는 추가(ADD)보다 복사(COPY)를 사용하는 것이 좋습니다. 복사는 더 명확한 실행 과정을 보여줍니다. 추가(ADD)는 URL 다운로드나 tar 압축 해제와 같은 추가 기능을 제공하는데, 이러한 기능은 예측하기 어려울 수 있습니다. 명확성과 보안을 고려할 때, 다운로드 및 압축 해제가 필요한 경우에는 curl, wget, tar 명령어를 사용하여 실행(RUN)하는 것이 더 나은 경우가 많습니다.

4. 달리다: 현재 이미지 위에 새 레이어를 생성하고 그 결과를 저장합니다. 이는 소프트웨어 설치, 디렉터리 생성, 코드 컴파일 등에 사용됩니다.
   • 목적: 패키지 설치, 빌드 스크립트 실행 또는 구성 설정을 통해 이미지의 파일 시스템을 수정합니다.
   • 예:

Dockerfile

RUN apt-get update && apt-get install -y –no-install-recommends \
nginx \
curl \
&& rm -rf /var/lib/apt/lists/*

• 모범 사례: 관련 명령은 && 연산자를 사용하여 연결하고, 임시 파일이나 패키지 관리자 캐시를 정리하는 작업(예: Debian/Ubuntu의 경우 `rm -rf /var/lib/apt/lists/*`, CentOS/RHEL의 경우 `yum clean all`)을 동일한 RUN 명령 내에서 수행하십시오. 이렇게 하면 각 RUN 명령이 새로운 레이어를 생성하므로 레이어 수가 최소화되고 이미지 크기가 줄어듭니다.

5. 환경: 빌드 프로세스 중(정의된 후) 및 이미지에서 컨테이너가 실행될 때 사용할 수 있는 환경 변수를 설정합니다.
   • 목적: 애플리케이션 또는 빌드 스크립트에 필요한 구성 값, 경로 또는 설정을 제공합니다.
   • 예:

Dockerfile

ENV NODE_ENV=production
ENV APP_PORT=3000

• 모범 사례: 민감하지 않은 설정 데이터는 환경 변수(ENV)에 저장하세요. 비밀 정보는 환경 변수를 사용하여 이미지에 직접 저장하는 대신 런타임에 주입하는 방식을 사용하는 것이 좋습니다.

6. ARG: Docker 빌드 중에 사용자가 `--build-arg` 플래그를 사용하여 전달할 수 있는 빌드 시간 변수를 정의합니다.
   • 목적: Dockerfile을 수정하지 않고 빌드 프로세스를 매개변수화할 수 있도록 합니다.
   • 예시: Dockerfile

Dockerfile

ARG APP_VERSION=1.0.0
ENV APP_VERSION_ENV=${APP_VERSION}
RUN echo “버전 ${APP_VERSION_ENV} 빌드 중”

• 다음 도구로 빌드하세요: 세게 때리다 docker build-build-arg APP_VERSION=1.2.3 -t myapp.
• 참고: ARG 변수는 위에서처럼 환경 변수로 명시적으로 설정하지 않으면 실행 중인 컨테이너에서 사용할 수 없습니다.

7. 폭로하다: 컨테이너가 런타임 시 지정된 네트워크 포트에서 수신 대기함을 Docker에 알립니다.
   • 목적: 이 문서는 주로 이미지 빌더 및 사용자를 위한 설명서 역할을 합니다. 포트 번호는 공개하지 않습니다.

예:

Dockerfile

EXPOSE 8080

• 참고: 호스트에서 해당 포트에 접근하려면 `docker run` 명령에 `-p` 또는 `-P` 플래그를 사용합니다(예: `docker run -p 8080:8080 myimage`).

8. CMD 그리고 진입점: 컨테이너가 시작될 때 실행될 명령어를 정의합니다.
   • CMD [“실행 파일”, “매개변수1”, “매개변수2”] : 실행 중인 컨테이너에 대한 기본값을 제공합니다. 이러한 기본값은 `docker run` 명령 뒤에 명령어를 추가하여 쉽게 재정의할 수 있습니다. CMD가 여러 개인 경우 마지막에 추가된 명령어만 적용됩니다.
   • ENTRYPOINT [“executable”, “param1”, “param2”] : 컨테이너를 실행 파일로 실행되도록 구성합니다. docker run에 전달된 인수는 ENTRYPOINT 명령에 추가됩니다.
   • 예시 (일반적인 패턴):

Dockerfile

ENTRYPOINT [“python”, “app.py”] # 메인 명령어
CMD [“–help”] # docker run 시 인수가 제공되지 않은 경우 기본 인수

• 모범 사례: 기본 명령어를 쉽게 재정의하려면 CMD를 사용하세요. 특정 실행 파일처럼 동작하는 이미지를 생성하려면 ENTRYPOINT를 사용하고, 이때 기본 인수를 제공하기 위해 CMD를 자주 활용합니다. 웹 애플리케이션의 경우 CMD [“npm”, “start”] 또는 CMD [“python”, “manage.py”, “runserver”]가 일반적입니다.

최적화된 Dockerfile을 위한 핵심 모범 사례

기능적인 Dockerfile을 작성하는 것은 시작에 불과합니다. 이를 최적화하면 훨씬 더 큰 이점을 얻을 수 있습니다.

• 빌드 캐시를 효과적으로 활용하세요: Docker는 이미지를 레이어별로 빌드하며, 가능한 경우 이전 빌드의 레이어를 재사용하려고 시도합니다(캐싱). 캐시 적중률을 최대화하려면 다음을 수행하십시오
  • 변경 빈도가 낮은 순서부터 높은 순서로 설치 지침을 정렬하세요. 예를 들어, 자주 변경되는 애플리케이션 소스 코드를 복사하기 전에

Dockerfile

# Node.js 앱을 위한 좋은 캐싱 예시
FROM node:18-alpine
WORKDIR /app
COPY package.json package-lock.json ./ # 종속성 변경 빈도가 낮음
RUN npm ci –omit=dev # 패키지 파일이 변경되지 않으면 이 레이어가 캐시됩니다
. COPY . . # 소스 코드는 자주 변경되므로 마지막에 캐시됩니다.
CMD [“node”, “server.js”]

• 이미지 크기를 작게 유지하세요: 이미지 크기가 작을수록 가져오기, 보내기 및 배포 속도가 빠르며 공격 표면이 줄어듭니다.
  • 최소 기본 이미지 사용: Alpine, slim 또는 distroless 변형은 전체 OS 이미지보다 크기가 훨씬 작습니다.
  • 동일한 실행 레이어에서 정리: 패키지 설치 후 동일한 RUN 명령어를 사용하여 불필요한 캐시 또는 임시 파일을 제거하십시오. 예를 들면 다음과 같습니다
    • Debian/Ubuntu: apt-get clean && rm -rf /var/lib/apt/lists/*
    • CentOS/RHEL: yum clean all 또는 dnf clean all
    • 알파인: rm -rf /var/cache/apk/*
• 다단계 구축 방식을 활용하세요: 이는 이미지 크기를 줄이는 가장 효과적인 방법 중 하나이며, 특히 컴파일 언어나 빌드 단계를 거치는 애플리케이션(예: JavaScript 프런트엔드)에 유용합니다.
  • 개념: 모든 빌드 도구와 개발 종속성을 포함하는 하나의 단계(FROM 블록)를 사용하여 애플리케이션을 컴파일/빌드합니다. 그런 다음, 최소한의 런타임 기본 이미지에서 새 만 최종 정리 단계로 복사합니다
  • 예시 (간단한 Go 애플리케이션): Dockerfile

Dockerfile

# 1단계: 빌드
FROM golang:1.20 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp

# 2단계: 런타임
FROM debian:bullseye-slim
WORKDIR /app
COPY –from=builder /app/myapp .
CMD [“./myapp”]

• 빌더 단계에는 Go SDK가 포함되어 있지만 최종 이미지에는 컴파일된 바이너리와 최소한의 Alpine OS만 포함됩니다.
• 보안을 최우선으로 하세요:
  • 루트 권한이 없는 사용자로 실행: 컨테이너는 기본적으로 루트 권한으로 실행됩니다. 이는 보안 위험입니다. Dockerfile에 권한이 없는 전용 사용자 및 그룹을 생성하고, `USER` 명령어를 사용하여 해당 사용자로 전환하십시오. Dockerfile

Dockerfile

RUN addgroup -S appgroup && adduser -S appuser -G appgroup
# … 파일을 복사하고 소유권을 appuser:appgroup으로 변경합니다 …
사용자: appuser

• 필수 패키지만 설치하세요: 모든 패키지는 잠재적인 취약점입니다. 프로덕션 이미지에 디버깅 도구나 개발 유틸리티를 설치하지 마세요(이를 위해서는 멀티스테이지 빌드를 사용하세요).
• 비밀 정보를 하드코딩하지 마세요: Dockerfile에 비밀번호, API 키 또는 기타 비밀 정보를 넣지 마십시오(예: 환경 변수). Docker 비밀 정보, Kubernetes 비밀 정보 또는 런타임에 안전하게 제공되는 환경 변수와 같은 런타임 주입 방식을 사용하십시오.
• .dockerignore 파일을 효과적으로 사용하는 방법: 빌드 컨텍스트의 루트(Dockerfile과 동일한 레벨)에 .dockerignore 파일을 생성합니다. Docker 데몬으로 전송하지 않을 파일 및 디렉터리 목록을 추가합니다(예: .git, 이미지에 설치된 경우 node_modules, 로컬 IDE 설정 파일, *.log 파일).
• 빌드 컨텍스트 크기를 줄이고 민감하거나 불필요한 파일이 이미지에 포함되는 것을 방지하여 Docker 빌드 프로세스 속도를 향상시킵니다

기본을 넘어서: 더욱 향상된 기능

위 내용에 익숙해지셨다면, 더욱 효율적인 Dockerfile 작성을 위해 다음 사항들을 고려해 보세요

• BuildKit: Docker의 최신 빌드 엔진으로, 기본적으로 활성화되는 경우가 많습니다. BuildKit은 향상된 성능(병렬 빌드), 개선된 캐싱 기능, 그리고 빌드 시크릿(RUN-mount=type=secret,…) 및 패키지 관리자용 캐시 마운트(RUN-mount=type=cache,…)와 같은 고급 기능을 제공합니다. BuildKit이 활성화되어 있는지 확인하거나 DOCKER_BUILDKIT=1 명령어를 사용하여 활성화하십시오.
• Dockerfile 린팅: 빌드하기 전에 Hadolint(hadolint Dockerfile)와 같은 도구를 사용하여 Dockerfile을 정적으로 분석하여 오류, 스타일 위반 및 모범 사례 준수 여부를 확인하세요.

일반적인 문제 해결 팁

• COPY 또는 ADD 작업 중 "파일을 찾을 수 없음" 오류가 발생하는 경우 : 소스 경로(빌드 컨텍스트 루트를 기준으로 함)를 다시 확인하고 .dockerignore 파일에 해당 파일이 제외되어 있지 않은지 확인하십시오.
• 빌드 속도 저하: 캐시 최적화를 위해 명령어 순서를 검토하세요. 가능한 경우 RUN 명령어를 결합하세요. .dockerignore 파일이 포괄적인지 확인하세요.
• 대용량 이미지: 다단계 빌드를 사용하세요! 실행 레이어에서 정리 작업을 수행하세요. 최소한의 기본 이미지를 선택하세요.

DevOps 워크플로우에서 Dockerfile 활용하기

Dockerfile은 "코드형 인프라(Infrastructure as Code)"의 핵심 요소입니다

• 버전 관리: Dockerfile은 애플리케이션 코드와 함께 항상 Git 저장소에 커밋해야 합니다.
• CI/CD 통합: Docker 빌드 및 이미지 푸시 프로세스를 지속적 통합/지속적 배포 파이프라인(예: GitHub Actions, Jenkins, GitLab CI) 내에서 자동화하세요. 이를 통해 일관되고 반복 가능한 빌드 및 배포를 보장할 수 있습니다.

결론: 성공을 위한 기반 구축

효과적인 Dockerfile을 작성하는 것은 개발 속도, 운영 안정성 및 애플리케이션 보안 측면에서 상당한 이점을 가져다주는 투자입니다. 기본 지침을 숙지하고, 다단계 빌드 및 이미지 레이어의 신중한 관리와 같은 모범 사례를 구현하고, 보안을 우선시함으로써 간결하고 효율적이며 견고한 Docker 이미지를 생성할 수 있습니다.

이 가이드는 탄탄한 기초를 제공합니다. 도커 여정을 계속하면서, 탐구하고, 실험하고, 도커파일을 다듬어 나가세요.

Docker 및 DevOps 역량을 한 단계 끌어올릴 준비가 되셨습니까?

Seahawk Media 는 컨테이너화, 클라우드 기술, 그리고 효율적인 CI/CD 파이프라인을 통해 기업이 잠재력을 최대한 활용할 수 있도록 지원하는 데 특화되어 있습니다. 애플리케이션 배포 최적화, 보안 강화 또는 개발 주기 가속화를 원하신다면 저희 전문가 팀이 언제든 도와드리겠습니다.