[Docker] Docker 아키택처와 Dind, Dood

💡 들어가며

Gitlab으로 CI 파이프라인을 구축하며 만났던 문제를 해결하는 과정에서 새로 알게된, Docker의 개념에 대해 소개합니다.
주제는 Docker Architecture, Dind, DooD 입니다.

🚫 Trouble

GitLab Runner로 CI 파이프라인을 만들고, 통합 테스트를 위해 TestContainer를 사용했습니다.
TestContainer로 생성된 MySql, Redis 컨테이너와 연결하는 과정에서 시행착오를 겪었습니다.
GitLab Runner를 Docker out of Docker 형태로 Host Machine에서 컨테이너를 실행해서 발생하는 오류였습니다.

✅ 해결책 : Docker in Docker 컨테이너

Docker 아키택처

Docker in docker, Docker out of docker를 이해하기 위해서는 먼저 도커의 아키택처가 어떻게 구성되어있는지 이해해야합니다.

도커는 도커 데몬이라는 서비스와, 도커 클라이언트라는 서비스 간 Rest API 통신으로 작동됩니다.
우리가 터미널 shell로 입력하는 모든 docker 명령어는 docker client를 통해 API 명령어 형태로 docker daemon으로 전달되어서 실행됩니다.(/var/run/docker.sock)

도커 데몬(daemon)

리눅스 기반의 OS에 Docker를 설치하고 다음과 같은 명령어를 입력해보면

ps aux | grep dockerd

Docker 데몬이 백그라운드 프로세스로 돌고 있는 것을 확인할 수 있습니다.

docker daemon은 Docker API를 처리하고 image, container, network, volume 등과 같은 Docker object를 관리합니다.
아래와 같은 명령어로 Docker 데몬의 통신 방법을 바꿀 수 있습니다. 이렇게 설정하면 현재 접속해 있는 머신의 데몬에 외부에서 명령어를 전달할 수 있습니다.

dockerd -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375

Docker 클라이언트(client)

리눅스 환경에서 which 명령어를 사용해 docker client 명령어가 어디에 위치하는지 확인할 수 있습니다.

which docker

도커 클라이언트는 일반적으로 다음 단계를 통해 클라이언트와 통신합니다.

사용자가 docker ps와 같은 Docker 명령어를 입력합니다.
/usr/bin/docker는 /var/run/docker.sock 유닉스 소켓을 사용해 Docker 데몬에게 명령어를 전달합니다.
Docker 데몬은 이 명령어를 파싱하고 명령어에 해당하는 작업을 수행합니다.
수행 결과를 Docker 클라이언트에 반환하고 사용자에게 결과를 출력합니다.

DooD(Docker out of Docker)

Docker Host 머신 위에 자신과 동일한(sibling) 관계의 Docker container를 생성합니다.
아래 그림에서 container2, container3는 container1에 종속되지 않고 Host 머신(docker demon이 존재하는 장비)에 종속됩니다.

이는 Docker 호스트와 container1의 데몬이 소켓 형태로 통신할 수 있기 때문입니다.
DooD 형태로 container1에서 다른 컨테이너를 생성하기 위해서는 다음과 같이 /var/run/docker.sock을 볼륨으로 마운트 해주어야 합니다.

docker run -v /var/run/docker.sock:/var/run/docker.sock ...

Dind(Docker in Docker)

Docker Host 머신에 새로운 컨테이너가 생성되는 것이 아닌 컨테이너 내부에 또 다른 격리된 컨테이너가 생성되는 형태입니다.
Container1(Dind 컨테이너) 위에 container4, container5가 생성됩니다.
Dind 컨테이너가 독립적인 docker daemon 프로세스를 실행하고 있습니다.

✅ Dind를 사용하기 위해서는 이미지와 옵션 설정이 필요합니다.

privileged: Docker 컨테이너는 기본적으로 unprivileged 모드로 생성됩니다. privileged 모드로 컨테이너를 실행하게 되면 Container 안에서 Host의 리눅스 커널 기능을 모두 사용할 수 있습니다.

docker run --privileged –it –d --name some-docker -e docker:dind

⚠️ 주의!

privileged 모드로 실행시키면 시스템의 모든 장치에 접근할 수 있으며 커널 기능 대부분을 수행할 수 있기 때문에 보안 이슈가 있습니다.
Docker에서는 privileged 모드를 사용하는 Dind 형태를 권고하지 않습니다.

🏁 마치며

프로젝트를 수행하고 도커에 대한 개념을 정리하면서 도커가 클라이언트, 서버의 구조로 명령어를 주고 받는다는 개념을 새로 알게 되었습니다. 또, 도커의 구조적 형태에 따라 Dood, Dind와 같은 컨테이너간 종속개념도 이해할 수 있었습니다.
도커를 사용하면 할수록 더 컨테이너 환경을 어떻게 구성해야할지, 컨테이너들 끼리 어떻게 상호작용할 수 있게 인프라를 구성해야할지 고민이 많이 되는것 같습니다.
더 자세한 내용이 궁금하다면 참고 링크도 확인해보시면 도움이 될 것 같습니다. 😆

참고

https://junstar92.tistory.com/169
https://velog.io/@weekbelt/도커데몬Docker-Daemon
https://pyojuncode.github.io/Docker-DinD,-DooD/

'자동화 > Docker' 카테고리의 다른 글

[CI/CD]Spring boot 프로젝트 testContainer를 사용한 Gitlab-CI 파이프라인 구축하기 (2)	2023.02.11