# 도커 소개

- 리눅스 컨테이너에 여러 기능을 추가함으로써 애플리케이션을 컨테이너로써 좀 더 쉽게 사용 할 수 있게 만들어진 오픈소스 프로젝트
- Go 언어로 작성되어 있음

###  배경
- 기존 가상화 기술은 하이퍼바이저를 이용해 여러 개의 운영체제를 하나의 호스트에서 생성해 사용하는 방식
- 하이퍼바이저에 의해 생성되고 관리되는 운영체제는 게스트 운영체제(Guest OS)라고 함
- 각 게스트 운영체제는 다른 게스트 운영체제와는 완전히 독립된 공간과 시스템 자원을 할당받아 사용함
- 가상화 방식을 사용할 수 있는 대표적인 가상화 툴 : VirtualBox, VMWare
- 단점
    - 하이퍼바이저가 각종 시스템 자원을 가상화하고 독립된 공간을 생성하는 작업을 해야 함 (성능 손실)
    - 가상머신은 게스트 운영체제를 사용하기 위한 라이브러리, 커널 등을 전부 포함해야 함
        - 가상 머신을 배포하기 위한 이미지로 만들었을 때 이미지 크기 커짐 (수 기가바이트에 달할 수 있음)

### 도커 컨테이너 등장
- 장점
 - 가상화된 공간을 생성하기 위해 리눅스 자체 기능인 chroot, namespace, cgroup 을 사용
   - 프로세스 단위의 격리 환경 구축
   - 성능 손실 거의 없음
 - 컨테이너에 필요한 커널은 호스트의 커널을 공유하여 사용
 - 컨테이너 안에는 애플리케이션을 구동하는 데 필요한 라이브러리 및 실행 파일만 존재
   - 이미지 용량 또한 가상 머신에 비해 대폭 줄어듦
   
   
### 도커를 시작해야 하는 이유
#### 1. 애플리케이션의 개발과 배포가 편해짐
  - 도커 컨테이너는 호스트 OS 위에서 실행되는 격리된 공간
    - 호스트 OS : 서버를 부팅할 때 실행되는 운영체제
  - 컨테이너 자체에 특별한 권한을 주지 않는 한, 컨테이너 내부에서 수많은 소프트웨어를 설치하고 설정 파일을 수정해도 호스트 OS 에는 영향을 끼치지 않음
    - 독립된 개발 환경 보장
  - 도커 이미지는 가상 머신의 이미지와는 달리 커널을 포함하고 있지 않음
    - 이미지 크기 감소
  - 이미지 내용을 레이어 단위로 구성하며, 중복되는 레이어를 재사용 할 수 있음
    - 애플리케이션 배포 속도 증가
    
#### 2. 여러 애플리케이션의 독립성과 확장성이 높아짐
  - 컨테이너 기반의 마이크로 서비스 가능
    - 도커 스웜 모드, 쿠버네티스 등의 컨테이너 오케스트레이션 플랫폼을 통해 사용
    
### 도커 엔진 설치
- 도커는 다양한 운영체제에서 사용 가능
  - but, 리눅스에서 작동하는데 최적화 되어 있음
- 리눅스 컨테이너를 제어하는 API를 Go 언어로 구현한 libcontainer 를 사용하기 때문에 대부분의 리눅스 운영체제에서 사용 가능
- 도커를 사용할 때 쓰는 대표적인 리눅스 운영체제 : CoreOS, CentOS, 우분투
- 지원이 중단되지 않은 최신 버전의 운영체제 배포판을 사용하는 것이 좋음
  - 윈도우 10, 맥 OS X 10.10.3 Yosemite 이전 버전의 운영체제를 사용한다면 도커를 사용하기 위해 가상화 공간을 별도로 생성해야 함

#### 도커 엔진의 종류 및 버전
  - 2017년 3월부터 도커 엔진은 도커 EE(Docker Enterprise Edition), 도커 CE(Community Edition)으로 구분되어 제공
    - 버전 이름 : 17.03-EE 또는 17.03-CE 와 같이 (출시 년도)-(출시 월)-(도커 엔진 종류)의 형태
  - 도커 EE
    - 유료로 제공되는 기업용 솔루션
    - 각종 기술 지원 및 실제 서비스 단계에서 필요한 각종 부가 기능들을 도커 엔진과 함께 제공
    - 3개월마다 안정화된 버전으로 릴리즈됨
  - 도커 CE
    - 무료로 제공되는 도커 엔진
    - 별도의 기술 지원 및 서비스를 제공하지는 않지만, 도커 엔진 자체의 핵심적인 기능을 무료로 사용 가능
    - stable과 edge 버전으로 구분해 각각 3개월, 1개월 단위로 릴리즈됨 (edge 는 각종 버그가 발생할 수 있으므로 stable 버전 지향)
    
#### 리눅스 도커 엔진 설치
  - 최신 버전 커널을 사용하고 있는지 확인
    - 호스트 운영체제가 최소 3.10 버전 이상을 사용해야 도커 컨테이너를 정상적으로 사용 가능
    - 터미널에서 uname -r 명령어 입력하여 커널 버전이 이를 만족하는지 확인
    ```bash
    $ uname -r
    ```
  - 지원 기간 내에 있는 배포판인지 확인
  - 64비트 리눅스인지 확인
    - 도커는 64비트에 최적화 되어 있음
  - sudo 명령어를 통해 설치하거나 root 권한을 소유한 계정에서 설치를 진행
  - 원래는 윈도우와 맥 OS X 에서 도커를 사용하려면 도커 툴박스(Docker Toolbox)라는 패키지를 설치해야 했음
    - 도커 툴박스는 오라클 버추얼박스(VirtualBox)의 가상화 기술을 이용해 리눅스 가상 환경을 구축한 뒤 도커를 설치함
    
#### Docker for Windows, Docker for Mac
  - 가상 머신을 생성하지 않고, 자체 가상화 기술로 리눅스 환경을 만들어 컨테이너를 생성함
    - 가상 환경을 생성하기 위해 리눅스킷(Linuxkit) 툴 이용
    - 리눅스킷은 최소화된 리눅스 커널만을 탑재한 뒤 필요한 작업만 컨테이너 기반의 서비스로 정의해 사용
    - Docker for Mac, Docker for Windows의 커널은 리눅스킷의 커널을 따르게 됨 (도커 엔진 또한 해당 커널 사용)
  - 도커에서 컨테이너를 생성할 때는 포트 포워딩을 설정하는 것만으로 외부에서 컨테이너에 접근 할 수 있음

### 도커 이미지와 컨테이너
#### 도커 이미지
  - 가상 머신을 생성할 때 사용하는 iso 파일과 비슷한 개념
  - 이미지는 여러 개의 계층으로 된 바이너리 파일로 존재함
  - 컨테이너를 생성하고 실행할 때 읽기 전용으로 사용됨
  - 이미지는 도커 명령어로 내려받을 수 있으므로 별도로 설치할 필요 없음
  - 형태 : [저장소 이름]/[이미지 이름]:[태그]
#### 도커 컨테이너
  - 해당 이미지의 목적에 맞는 파일이 들어있는 파일시스템과 격리된 시스템 자원 및 네트워크를 사용 할 수 있는 독립적인 공간이 생성됨
  - 컨테이너는 이미지를 읽기 전용으로 사용
  - 생성된 컨테이너는 각기 독립된 파일시스템을 제공받음
  - 호스트와 분리돼 있으므로 특정 컨테이너에서 어떤 애플리케이션을 설치하거나 삭제해도 다른 컨테이너와 호스트는 변화가 없음
  - 하나의 컨테이너에 프로세스 하나만 실행하는 것이 도커의 철학

### 도커 명령어
```bash
[컨테이너 실행]
$ docker run -it ubuntu:14.04 (컨테이너 실행 및 bash 접속)
$ docker create --name mycentos centos:7 (컨테이너 생성)
$ docker start mycentos (컨테이너 시작)
$ docker attach mycentos (컨테이너 내부 접속)
$ docker exec -it mycentos /bin/bash (exec: 컨테이너 내부에서 명령어 실행한 뒤 그 결과값을 반환)
$ docker run -it --name mynetwork_container --net mybridge (특정 네트워크를 사용하여 컨테이너 실행)
$ docker run -it --name network_host --net host (호스트 네트워크 환경으로 컨테이너 실행)
$ docker run -it log-opt max-size=10k --log-opt max-file=3 --name log-test ubuntu:14.04 (로그 파일 제한)

run 명령어 : docker pull(이미지 없는 경우) > docker create > docker start > docker attach(-i, -t 옵션 활성화 시)
create 명령어 : docker pull(이미지 없는 경우) > docker create

[컨테이너, 이미지, 볼륨 등 도커의 모든 구성 단위의 정보 확인]
$ docker inspect
$ docker inspect --type volume myvolume (myvolume 볼륨에 대한 정보 조회)
$ docker inspect --type network (네트워크 자세한 정보 조회)
$ docker container inspect (도커 컨테이너 정보 조회)
$ docker image inspect (도커 이미지 정보 조회)
$ docker volume inspect (도커 볼륨 정보 조회)

[컨테이너 목록 확인]
$ docker ps (정지되지 않은 컨테이너만 출력)
$ docker ps -a (모든 컨테이너 출력)
$ docker ps --format "table {{.ID}}\t{{.Status}}\t{{.Image}}\t{{.Names}}" (원하는 정보만 출력)

[컨테이너 이름 변경]
$ docker rename container_a container_b

[컨테이너 삭제]
$ docker stop container_b
$ docker rm container_b (실행 중인 컨테이너는 삭제할 수 없음)
$ docker rm -f container_b (실행 중인 컨테이너 강제 삭제)
$ docker container prune (모든 컨테이너 삭제)
$ docker stop $(docker ps -a -q) (-q: 컨테이너 ID 만 출력)
$ docker rm $(docker ps -a -q)

[호스트와 바인딩된 포트 확인]
$ docker port container_a

[호스트 볼륨 공유]
$ docker run -d --name wordpressdb -e MYSQL_ROOT_PASSWORD=password -e MYSQL_DATABASE=wordpress -v /home/wordpress_db:/var/lib/mysql mysql:5.7 (/var/lib/mysql : MYSQL 이 데이터를 저장하는 기본 디렉터리)
$ docker run -it --name volumes_from_container --volumes-from wordpressdb ubuntu:14.04

[볼륨 생성]
$ docker volume create --name myvolume (볼륨은 로컬 호스트에 저장되며, 도커 엔진에 의해 생성되고 삭제될 수 있음)
$ docker run -it --name volume_auto -v /root (공유할 디렉터리 위치를 -v 옵션에 입력하면 해당 디렉터리에 대한 볼륨을 자동으로 생성함)

[볼륨 조회]
$ docker volume ls

[생성한 볼륨을 컨테이너에 마운트]
$ docker run -it name myvolume_1 -v myvolume:/root/
$ docker run -it name myvolume_2 -v myvolume:/root/
-> myvolume_1, myvolume_2 모두 /root/ 디렉터리를 공유한다.

[사용되지 않는 볼륨 삭제]
$ docker volume prune

[네트워크 목록 조회]
$ docker network ls
$ docker network inspect (자세한 정보 확인)

[네트워크 생성]
$ docker network create --driver bridge mybridge (브리지 네트워크 생성)
$ docker network create --driver bridge --subnet=172.72.0.0/16 --ip-range=172.72.0.0/24 --gateway=172.72.0.1 my_custom_network (서브넷, 게이트웨이, IP 할당 범위 등 임의 설정하여 브리지 네트워크 생성)
$ docker network create --driver(or -d) macvlan --subnet=192.168.0.0/24 --ip-range=192.168.0.64/28 --gateway=192.168.0.1 -o mavlan_mode=bridge -o parent=eth0 my_macvlan (MacVLAN 네트워크 생성)

[네트워크 연결 및 해제]
$ docker network connect mybridge mynetwork_container (특정 컨테이너에 네트워크 연결)
$ docker network disconnect mybridge mynetwork_container (특정 컨테이너에 네트워크 연결 해제)

[컨테이너 로깅]
$ docker logs mysql (특정 컨테이너 로그 조회)
$ docker logs --tail 2 mysql (밑에서 2줄까지만 로그 조회)
$ docker logs --since 1474765979 mysql (--since 옵션에 유닉스 시간을 입력해 특정 시간 이후 로그 조회)

[댕글링 이미지 삭제]
$ docker image prune

[도커 로그인]
$ docker login (로그인 정보는 /[계정명]/.docker/config.json 파일에 저장됨)

[컨테이너와 연결된 호스트 포트 확인]
$ docker ps
$ docker port

[이미지 빌드]
$ docker build -t [이미지명:태그] [컨텍스트 위치]
$ docker build -f Dockerfile2 -t mycache:0.0 . (Dockerfile2 파일을 이용해 현재 위치를 컨텍스트로 지정하여 빌드)
$ docker build --no-cache -t mybuild:0.0 . (캐시 없이 이미지 빌드)
$ docker build --cache-from nginx -t my_extend_nginx:0.0 . (특정 이미지를 캐시하여 추가 빌드)

[도커 데몬 모니터링]
$ docker events (도커 데몬 상태 실시간 스트리밍 = docker system events)
$ docker stats (모든 컨테이너 자원 사용량 조회)
$ docker system dt (이미지/컨테이너 개수, 로컬 볼륨 등 조회)


[옵션]
-i: 상호 입출력
-t: tty 활성화
--link: 내부 IP를 알 필요 없이 항상 컨테이너에 별명(alias)으로 접근하도록 설정 / 실행순서의 의존성 정의 (deprecated 됨 -> 브리지 네트워크 권장)
-v : 볼륨 공유
--volumes-from : 볼륨 컨테이너에 연결해 데이터를 간접적으로 공유받음
-P : Dockerfile 의 EXPOSE 의 모든 포트를 호스트에 연결하도록 설정
```

### 컨테이너 외부 노출
- 컨테이너는 가상 머신과 마찬가지로 가상 IP 주소를 할당받음
- 기본적으로 도커는 컨테이너에 172.17.0.x의 IP 를 순차적으로 할당함
- 컨테이너 bash 접속 이후, `ifconfig` 명령어로 컨테이너의 네트워크 인터페이스 확인
- 아무런 설정을 하지 않으면, 컨테이너는 외부에서 접근할 수 없으며, 도커가 설치된 호스트에서만 접근 가능
- 외부에 컨테이너 애플리케이션을 노출하기 위해서는 eth0의 IP와 포트를 호스트의 IP와 포트에 바인딩해야 함
```bash
$ docker run -it --name mywebserver -p 80:80 ubuntu:14.04 (컨테이너에 아파치 웹서버를 설치해 외부에 노출)
```

### 도커 네트워크
- 도커는 컨테이너에 내부 IP를 순차적으로 할당하며, 이 IP는 컨테이너 재시작할 때마다 변경될 수 있음
- 컨테이너에 외부와의 네트워크를 제공하기 위해 컨테이너마다 가상 네트워크 인터페이스를 호스트에 생성함
  - 이 인터페이스 이름은 veth 로 시작함
  - veth 인터페이스는 사용자가 직접 생성할 필요 없이 컨테이너가 생성될 때 도커 엔진이 자동으로 생성
  - 각 컨테이너의 eth0과 veth 인터페이스가 연결되며, 이 veth 들은 docker0 브리지와 바인딩되어 호스트의 eth0 인터페이스와 이어줌
  - `brctl` 명령어를 이용해 docker0 브리지에 veth가 실제로 바인딩되었는지 확인 가능

#### 브리지 네트워크
  - 브리지 네트워크는 컨테이너를 생성할 때 자동으로 연결되는 docker0 브리지를 활용하도록 설정됨
    - 컨테이너는 연결된 브리지를 통해 외부와 통신 가능
    - 아무 설정 없이 컨테이너 생성하면 컨테이너는 자동으로 docker0 브리지 사용
  - 컨테이너 실행 시, `--net` 옵션에 `--net-alias` 옵션을 함께 사용하면 특정 호스트 이름으로 컨테이너 여러 개에 접근 가능
  ```bash
  $ docker run -i -t -d --name network_alias_container1 --net mybridge --net-alias alicek106 ubuntu:14.04
  $ docker run -i -t -d --name network_alias_container2 --net mybridge --net-alias alicek106 ubuntu:14.04
  $ docker run -i -t -d --name network_alias_container3 --net mybridge --net-alias alicek106 ubuntu:14.04
  $ docker run -i -t --name network_alias_ping --net mybridge ubuntu:14.04 (세 개의 컨테이너에 접근할 컨테이너)
  
  $ ping -c 1 alicek106 
  $ ping -c 1 alicek106
  $ ping -c 1 alicek106
  ```
  - ping 세번 호출 시, 각 컨테이너의 IP 조회됨 (라운드 로빈 방식)
    - 도커 엔진에 내장된 DNS 가 alicek106 이라는 호스트 이름을 --net-alias 옵션으로 alicek106 을 설정한 컨테이너로 변환(resolve)하기 때문
    - dig 도구 사용하여 DNS 로 도메인 이름에 대응하는 IP 조회 가능
    ```bash
    $ apt-get update
    $ apt-get install dnsutils
    $ dig alicek106
    ```

#### 호스트 네트워크
  - 네트워크를 호스트로 설정하면 호스트 네트워크 환경을 그대로 사용 가능
    - 별도로 네트워크 생성 없이 기존의 host 라는 이름의 네트워크 사용

#### 논 네트워크
  - `--net none` 설정하여 컨테이너 실행하면 외부와 연결이 단절됨
  - 논 네트워크에 있는 컨테이너에서 ifconfig 명령어 실행 시, 로컬호스트를 나타내는 lo 외에는 존재하지 않음

#### 컨테이너 네트워크
  - `--net container` 설정하면, 다른 컨테이너의 네트워크 네임스페이스 환경 공유 가능
    - 공유되는 속성 : 내부 IP, 네트워크 인터페이스의 맥(MAC) 주소 등
    - `--net container:{container ID}` 옵션
    - 다른 컨테이너의 네트워크 환경을 공유하면, 
      - 내부 IP를 새로 할당받지 않음
      - 호스트에 veth 로 시작하는 가상 네트워크 인터페이스도 생성되지 않음
      - 공유된 컨테이너들의 eth0 에 대한 정보는 완전히 동일함
      - 공유된 컨테이너의 eth0 <-> veth 가상 네트워크 인터페이스 <-> docker0 <-> 호스트의 eth0
      
#### MacVLAN 네트워크
  - 호스트의 네트워크 인터페이스 카드를 가상화해 물리 네트워크 환경을 컨테이너에게 동일하게 제공함
  - MacVLAN 사용하면 컨테이너는 물리 네트워크상에서 가상의 맥(MAC) 주소를 가지며, 해당 네트워크에 연결된 다른 장치와의 통신이 가능해짐
    - MacVLAN 에 연결된 컨테이너는 기본적으로 할당되는 IP 대역인 172.17.x.x 대신 네트워크 장비의 IP를 할당받기 때문
  - MacVLAN 네트워크를 사용하는 컨테이너는 기본적으로 호스트와 통신이 불가능함

### 컨테이너 로깅
- 도커는 컨테이너의 표준 출력(StdOut)과 에러(StdErr) 로그를 별도의 메타데이터 파일로 저장함
- 컨테이너 내부에서 bash 셸 등을 입출력한 내용을 확인할 수도 있음
- log 파일 위치
  - `cat /var/lib/docker/containers/${CONTAINER_ID}/${CONTAINER_ID}-json.log`
- 컨테이너 내부 출력이 너무 많은 상태로 방치하면 json 파일 크기가 계속해서 커질 수 있음
  - `--log-opt` 옵션으로 컨테이너 json 로그 파일의 최대 크기 지정 가능
  ```bash
  $ docker run -it log-opt max-size=10k --log-opt max-file=3 --name log-test ubuntu:14.04
  (max-size: 로그 파일 최대 크기, max-file: 로그 파일 최대 개수)
  ```
- 로깅 디르아비너는 기본적으로 json-file 로 설정되지만 도커 데몬 시작 옵션에서 --log-driver 옵션을 사용하여 기본적으로 사용할 로깅 드라이버를 변경 할 수 있음

#### syslog 로그
  - 유닉스 계역 운영체제에서 로그를 수집하는 오래된 표준 중 하나
  - 커널, 보안 등 시스템과 관련된 로그, 애플리케이션 로그 등 다양한 종류의 로그 수집하여 저장
  - 대부분의 유닉스 계열 운영체제에서는 syslog 를 사용하는 인터페이스가 동일하여 체계적으로 로그를 수집하고 분석 할 수 있다는 장점이 있음
  - 기본적으로 로컬호스트의 syslog 에 저장
    - 우분투 14.04 : /var/log/syslog
    - CentOS, RHEL : /var/log/messages
    - 우분투 16.04, CoreOS : journalctl -u docker.service 명령어로 확인 가능
  - 우분투에서 사용하는 기본적인 로깅 방법인 rsyslog 사용하여 logentries, LogAnalyzer 등과 같은 로그 분석기와 연동하면 웹 인터페이스를 활용해 편리하게 로그 확인 가능
  
#### fluentd 로깅
  - 각종 로그를 수집하고 저장할 수 있는 기능을 제공하는 오픈소스 도구
  - 도커 엔진의 컨테이너 로그를 fluentd를 통해 저장할 수 있도록 플러그인 제공
  - JSON 데이터 포맷 사용
  - 수집되는 데이터를 AWS S3, HDFS(Hadoop Distributed File System), MongoDB 등 다양한 저장소에 저장 가능

#### 아마존 클라우드워치 로깅
  - AWS CloudWatch > 로그 그룹 생성(mylogs) > 로그 스트림 생성(mylogstream)
  - CloudWatchFullAccess 권한을 가진 IAM 생성 후, EC2 연결
  - EC2에서 아래와 같이 도커 컨테이너 실행
  ```bash
  $ docker run -i -t --log-driver=awslogs --log-opt awslogs-region=ap-northeast-2 --log-opt awslogs-group=mylogs --log-opt awslogs-stream=mylogstream ubuntu:14.04
  ```
  
### 컨테이너 자원 할당 제한
- 컨테이너를 생성할 때 자원 할당량을 조정하도록 옵션을 입력할 수 있음
- 아무런 옵션을 입력하지 않으면 컨테이너는 호스트의 자원을 제한 없이 사용하게 됨
- 컨테이너에 설정된 자원 제한을 확인하려면 `docker inspect` 명령어 실행
- run 명령어에서 설정된 컨테이너의 자원 제한을 변경하는 방법
```bash
$ docker update (변경할 자원 제한) (컨테이너 이름)
$ docker update --cpuset-cpus=1 centos ubuntu
```

#### 컨테이너 메모리 제한
  - 입력 가능한 단위 : m(megabyte), g(gigabyte)
  - 제한 가능한 최소 메모리 : 4MB
  ```bash
  $ docker run -d --memory="1g" --name memory_1g nginx (컨테이너 메모리 사용량을 1GB 로 제한)
  ```
  - 컨테이너에 할당된 메모리를 초과하면 컨테이너는 종료됨
  - 기본적으로 컨테이너의 Swap 메모리는 메모리의 2배로 설정되지만 별도로 지정 가능
  ```bash
  $ docker run -it --name swap_500m --memory=200m --memory-swap=500m ubuntu:14.04
  ```

#### 컨테이너 CPU 제한
  - --cpu-shares
    - 컨테이너에 가중치를 설정해 해당 컨테이너가 CPU를 상대적으로 얼마나 사용할 수 있는지를 나타냄
    ```bash
    $ docker run -it --name cpu_share --cpu-shares 1024 ubuntu:14.04
    ```
    - 두개 컨테이너에 --cpu-shares 1024, 512 를 준다면, 2:1 비율로 CPU를 사용하게 된다.
      - CPU stress 부여하는 방법
        ```bash
        $ apt-get install stress
        $ docker run -d --name cpu_1024 --cpu-shares 1024 ubuntu:14.04 stress --cpu 1
        ```
  - --cpuset-cpu
    - 호스트에 CPU가 여러개 있을 때 컨테이너가 특정 CPU만 사용하도록 설정
    ```bash
    $ docker run -d --name cpuset_2 --cpuset-cpus=2 ubuntu:14.04 stress --cpu 1 (3번째 CPU만 사용하도록 설정)
    ```
    - CPU 별로 사용량 확인할 수 있는 대표적인 도구 : `htop`
  - --cpu-period & --cpu-quota
    - --cpu-period : 기본적으로 100000(100ms)
    - --cpu-quota : --cpu-period 에 설정된 시간 중 CPU 스케쥴링에 얼마나 할당할 것인지 설정
    - (--cpu-quota / --cpu-period)만큼 CPU 시간을 할당 받음
  - --cpus
    - `--cpus=0.5`는 `--cpu-period=100000 & --cpu-quota=5000`과 동일하게 CPU를 제한할 수 있음
   
### 도커 이미지
- docker create, docker run, docker pull 명령어로 이미지를 내려받을 때 도커는 도커 허브에서 해당 이미지를 검색한 뒤 내려받는다.
- 도커 허브에서 이미지 검색
  ```bash
  $ docker search [이미지명]
  ```
  
#### 컨테이너를 이미지로 생성하는 방법
  - 도커 컨테이너 실행 후, 그 안에서 어떤 파일을 만들었다고 가정한다.
  - 호스트로 빠져나와 docker commit 명령어를 입력해 컨테이너를 이미지로 만든다.
    ```bash
    $ docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
    $ docker commit -a "jonus" -m "my first commit" commit_test commit_test:first
    ```
  - 이미지 생성 여부 확인
    ```bash
    $ docker images
    ```
  - docker inspect 명령어 실행 시, `Layers` 항목에서 변경값에 대한 해쉬값을 확인할 수 있음
    - ex. "Layers": ["sha256:c8a75145fcc4...", "sha256..."]
    - 이미지 변경하여 생성하면, 기존 이미지에 있는 해쉬값에 새로운 해쉬값이 추가됨
  - 이미지 삭제
    ```bash
    $ docker rmi commit_test:first
    ```
    - 컨테이너가 사용중인 이미지를 docker rmi -f 로 강제 삭제하면, 이미지의 이름이 <none> 로 변경됨(= 댕글링 이미지)
    - 댕글링 이미지는 docker images -f dangling=true 명령어를 사용해 별도로 확인 가능
    - 사용중이지 않은 댕글링 이미지는 docker image prune 명령어로 한꺼번에 삭제 가능
    - 단, 삭제되는 이미지의 부모 이미지가 존재하지 않아야만 해당 이미지의 파일이 실제로 삭제됨 (부모 이미지가 존재하면, 이미지에 부여된 이름만 삭제됨)
   
#### 이미지 추출
  - 도커 이미지를 별도로 저장하거나 옮기는 등 필요에 따라 이미지를 단일 바이너리 파일로 저장해야 할 때가 있다.
  - docker save 명령어를 사용하면 컨테이너의 커맨드, 이미지 이름, 태그 등 이미지의 모든 메타데이터를 포함해 하나의 파일로 추출 가능
    ```bash
    $ docker save -o ubuntu_14_04.tar ubuntu:14.04
    ```
  - 추출된 이미지는 load 명령어로 도커에 다시 로드 가능 (완전히 동일한 이미지가 도커 엔진에 생성됨)
    ```bash
    $ docker load -i ubuntu_14_04.tar
    ```

#### 이미지 배포
  - save, export 와 같은 방법으로 이미지를 단일 파일로 추출해서 배포할 수도 있지만, 이미지 파일의 크기가 너무 크거나 도커 엔진의 수가 많다면, 이미지를 파일로 배포하기 어렵다.
  - 도커 허브 이미지 저장소 or 도커 사설 레지스트리 이용
    - 도커 허브
      - 단, 이미지 저장소에 업로드 하는 경우, 이미지가 저장되는 저장소 이름을 이미지 앞에 접두어로 사용해야 함
      - 비공개로 설정한 저장소는 접근 권한을 가진 계정으로 로그인해야만 이미지를 내려받을 수 있음
        - 다른 계정에 접근 권한을 주려면 저장소 페이지의 Collaborators 에 권한을 부여할 사용자 이름 추가
      - 저장소에 이미지가 push 됐을 때 특정 URL로 http 요청을 전송하도록 설정 가능(웹훅)
    - 도커 사설 레지스트리
      - 개인 서버에 이미지를 저장 할 수 있는 저장소
        ```bash
        $ docker run -d --name myregistry -p 5000:5000 --restart=always registry:2.6 (레지스트리는 기본적으로 5000 포트 이용)
        ```
      - 5000 포트로 레지스트리 컨테이너의 RESTFul API 사용 가능
        ```bash
        $ curl localhost:5000/v2/
        ```
      - 별도의 인터페이스를 제공하지 않으므로, RESTful API를 사용해야 함 (docker 명령어 사용 불가)

#### Dockerfile
  - FROM
    - 생성할 이미지의 베이스가 될 이미지
    - 반드시 한번 이상 입력해야 함
    - 사용하려는 이미지가 도커에 없다면 자동으로 pull
  - MAINTAINER
    - 이미지를 생성한 개발자의 정보 (도커 1.13.0 버전 이후로 사용 안함 -> LABEL 로 교체해 표현 가능)
  - LABEL
    - 이미지에 메타데이터 추가 (키:값 형태로 저장)
    - 여러개의 메타데이터 추가 가능
    - docker inspect 명령어로 이미지 정보로 확인 가능
    - docker images --filter "label=purpose=practice" 로 필터 가능
  - ADD
    - 파일을 이미지에 추가
    - Dockerfile 이 위치한 디렉터리인 컨텍스트(Context)에서 가져옴
  - WORKDIR
    - 명령어를 실행할 디렉터리
  - EXPOSE
    - 생성된 이미지에서 노출할 포트
  - CMD
    - 컨테이너가 시작될 때마다 실행할 명령어
    - 한번만 사용 가능
  - ENV
    - Dockerfile 에서 사용될 환경변수
    - 설정한 환경변수는 ${ENV_NAME} 또는 $ENV_NAME 형태로 사용 가능
    - 빌드된 이미지로 컨테이너 생성 시 컨테이너 안에서도 이 환경변수 사용 가능
    - ${env_name:-value} : env_name 이 설정되어 있지 않으면 value 를 값으로 사용
    - ${env_name:+value} : env_name 이 설정되어 있으면 value 를 값으로 사용하고 설정되지 않았다면 빈 문자열 사용
  - VOLUME
    - 호스트와 공유할 컨테이너 내부의 디렉터리 설정
  - ARG
    - build 명령어 실행 시 추가로 입력받아 Dockerfile 내에서 사용될 변수값 설정
      ```
      ARG my_arg
      ARG my_arg_2=value2 (기본값 설정)
      ```
    - `--build-arg` 옵션 사용하여 Dockerfile 의 ARG 에 값 입력
      ```
      $ docker build --build-arg my_arg=/home -t myarg:0.0 .
      ```
  - USER
    - 컨테이너 내에서 사용될 사용자 계정의 이름이나 UID 설정
    - USER 설정 시, 그 아래의 명령어는 해당 사용자 권한으로 실행됨
    - 일반적으로 RUN 으로 사용자의 그룹과 계정을 생성한 뒤 사용
      ```
      RUN groupadd -r author && useradd -r -g author jonus
      USER jonus
      ```
    - 루트 권한이 필요하지 않다면, USER 를 사용하는 것을 권장
    - 기본적으로 컨테이너 내부에서는 root 사용자를 사용하도록 설정됨
      - 컨테이너가 호스트의 root 권한을 가질 수 있다는 것을 의미하므로 보안 측면에서 바람직하지 않음
  - ONBUILD
    - 빌드된 이미지를 기반으로 하는 다른 이미지가 생성될 때 실행할 명령어
    - 부모 이미지의 자식 이미지에만 적용됨
  - STOPSIGNAL
    - 컨테이너가 정지될 때 사용될 시스템 콜의 종류 지정 (기본값 SIGTERM)
    ```
    FROM ubuntu:14.04
    STOPSIGNAL SIGKILL
    ```
  - HEALTHCHECK
    - 컨테이너에서 동작하는 애플리케이션의 상태 체크
    ```
    FROM nginx
    RUN apt-get update -y && apt-get install curl -y
    HEALTHCHECK --interval=1m --timeout=3s --retries=3 CMD curl -f http://localhost || exit 1
    ```
  - SHELL
    - 사용하려는 셸 별도 지정
    ```
    FROM node
    RUN echo hello, node!
    SHELL ["/usr/local/bin/node"]
    RUN -v
    ```
  - COPY
    - 로컬 디렉터리에서 읽어 들인 컨텍스트로부터 이미지에 파일을 복사하는 역할
    ```
    COPY test.html /home/
    COPY ["test.html", "/home/"]
    ```
  - ADD
    - COPY의 기능이 포함됨
    - 추가할 파일을 깃과 같은 외부 URL로 지정 가능
      ```
      ADD https://raw.githubusercontent.com/jonus/repo/master/test.html /home
      ```
    - 권장하지 않는 방법
      - URL이나 tar 파일을 추가할 경우, 이미지에 정확히 어떤 파일이 추가될지 알 수 없음 (가급적 COPY 사용 권장)
  - ENTRYPOINT & CMD
    - ENTRYPOINT
      - 커맨드를 인자로 받아 사용 할 수 있는 스크립트 역할 가능
      - 설정되어 있지 않다면 cmd에 설정된 명령어를 그대로 실행
      - 설정되어 있다면 cmd는 단지 entrypoint에 대한 인자의 기능을 함
      - 스크립트 파일을 entrypoint로 설정하면, 컨테이너가 시작될 때마다 해당 스크립트 파일을 실행함
    - 둘다 설정하려는 명령어를 /bin/sh 로 사용 할 수 없다면, JSON 배열의 형태로 명령어를 설정해야 함
      - JSON 배열 형태가 아니라면, 실제로 이미지 생성 시 /bin/sh -c 가 앞에 추가됨
      - JSON 배열 형태로 입력해야 입력된 명령어가 그대로 이미지에서 사용됨
  - 멀티 스테이지 빌드
    - 멀티 스테이지 빌드 방법을 사용해서 불필요한 이미지 크기를 줄일 수 있다.
      ```
      FROM golang
      ADD main.go /root
      WORKDIR /root
      RUN go build -o /root/mainApp /root/main.go

      FROM alpine:latest
      WORKDIR /root
      COPY --from=0 /root/mainApp .
      CMD ["./mainApp"]
      ```
      - 특정 단계의 이미지에 별도의 이름을 정의해 사용 가능
        ```
        FROM golang as builder
        ADD main.go /root
        WORKDIR /root
        RUN go build -o /root/mainApp /root/main.go
        
        FROM alpine:latest
        WORKDIR /root
        COPY --from=builder /root/mainApp .
        CMD ["./mainApp"]
        ```
    - alpine 이나 busybox 사용 권장
      - 우분투나 CentOS에 비해 이미지 크기가 매우 작지만 기본적인 프로그램 실행에 필요한 필수적인 런타임 요소가 포함되어 있는 리눅스 배포판 이미지
      - 경량화된 애플리케이션 이미지를 간단히 생성 가능
  - 주의
    - Dockerfile 이 위치한 곳에는 이미지 빌드에 필요한 파일만 있는 것이 바람직함
    - 루트 디렉터리(/)와 같은 고셍서 이미지를 빌드하지 않도록 주의해야 함
    - 컨텍스트는 단순 파일뿐 아니라 하위 디렉터리도 전부 포함하게 되므로 빌드에 불필요한 파일이 포함된다면 빌드 속도가 느려질뿐더러 호스트의 메모리를 지나치게 점유 할 수 있음
    - .dockerignore 파일 작성 -> 빌드 시 이 파일에 명시된 이름의 파일을 컨텍스트에서 제외함
      - 특정 파일만 포함하도록 설정하고 싶다면, `!` 사용
        ```
        *.html
        !test*.html
        ```
    - 명령어가 실행될 때마다 새로운 컨테이너가 하나씩 생성되며 이를 이미지로 커밋한다.
      - 이미지 빌드가 완료되면 Dockerfile 명령어 줄 수 만큼의 레이어가 존재하게 됨
      - 중간에 컨테이너도 같은 수만큼 생성되고 삭제됨
      - Removing intermediate container ... 는 중간에 이미지 레이어를 생성하기 위해 임시로 생성된 컨테이너를 삭제하는것
        - 삭제되기 전 출력되는 ID는 커밋된 이미지 레이어를 의미함
    - 캐시를 이용한 이미지 빌드
      - 한번 이미지 빌드를 마치고 난 뒤 같은 빌드를 진행하면, 이전의 이미지 빌드에서 사용했던 캐시 사용
      - 깃허브 클론과 같이 캐시를 사용하지 않으려면, `--no-cache` 옵션 추가
      - 특정 이미지를 캐시 후 빌드하고 싶다면, `--cache-from` 옵션 추가
    - 좋은 습관
      - 하나의 명령어를 `\`(역슬래시)로 나눠서 가독성을 높인다.
      - .dockerignore 파일 추가하여 불필요한 파일을 빌드 컨텍스트에 포함시키지 않는다.
      - 빌드 캐시를 이용해 기존에 사용했던 이미지 레이어를 재사용한다.
      - &&를 사용해서 RUN 명령을 하나로 묶는다.
        ```
        RUN mkdir /test
        RUN fallocate -l 100m /test/dummy
        RUN rm /test/dummy
        ```
        - 실제 100MB 크기의 파일(/test/dummy)은 이전 레이어에 남아있어서 의미 없는 저장 공간이 생겨버림(RUN 이 하나의 이미지 레이어가 되기 때문)
        ```
        RUN mkdir /test && fallocate -l 100m /test/dummy && rm /test/dummy
        ```
        - 이미지 레이어 개수가 하나로 줄어들게 된다.

### 도커 데몬
- 외부에서 API 입력을 받아 도커 엔진의 기능을 수행하는데, 도커 프로세스가 실행되어 서버로서 입력을 받을 준비가 된 상태를 말한다.

---

#### 도커 구조
  - 도커 클라이언트
    - API를 사용할 수 있도록 CLI 를 제공하는 것
    - 입력된 명령어를 로컬에 존재하는 도커 데몬에게 API로서 전달
    - /var/run/docker.sock 에 위치한 유닉스 소켓을 통해 도커 데몬의 API를 호출함
      - 유닉스 소켓은 같은 호스트 내에 있는 도커 데몬에게 명령을 전달할 때 사용됨
  - 도커 서버

---

#### 도커 데몬 제어 순서
  - 사용자가 docker 명령어 입력
  - /usr/local/bin/docker 는 /var/run/docker.sock 유닉스 소켓을 사용해 도커 데몬에게 명령어 전달
  - 도커 데몬은 이 명령어를 파싱하고 명령어에 해당하는 작업 수행
  - 수행 결과를 도커 클라이언트에게 반환하고 사용자에게 결과 출력

---

#### 도커 데몬 실행
  - 우분투 (데비안 계열)
    - 도커 설치되면 자동으로 서비스로 등록됨 (호스트가 재시작하더라도 자동으로 실행됨)
    ```bash
    $ service docker start
    $ service docker stop
    ```
  - CentOS (레드햇 계열)
    - 도커 설치해도 자동으로 실행되도록 설정되지 않음 (도커 서비스 활성화 필요)
    ```bash
    $ systemctl enable docker
    ```
  - 도커 데몬 직접 실행할 수도 있음(dockerd 명령어 입력)
  - service, systemctl 명령어를 통해 리눅스 서비스로서 관리하는 것이 좋다.

---

#### 도커 스토리지 드라이버 변경
  - 일부 운영체제는 도커 설치 시 기본적으로 사용하도록 설정된 스토리지 드라이버가 있다.
    - 우분투 : overlay2
    - CentOS : deviceampperㅡ
    ```bash
    $ docker info | grep "Storage Driver"
    ```
  - `--storage-driver` 옵션 사용하여, OverlayFS, AUFS, Btrfs, Devicemapper, VFS, ZFS 등에서 선택 가능하다.
  - 스토리지 드라이버를 변경한 경우, 기존 생성된 이미지와 컨테이너는 사용 할 수 없다.
  - 각 드라이버의 장단점을 감안해 선택하는 것이 바람직하다. (도커 스토리지 공식 문서 참고)

---

#### 도커 데몬 모니터링
  - 실시간으로 도커 데몬의 상태를 체크해야 할 필요가 있다.
  - 도커 데몬을 디버그 옵션으로 실행
    - Remote API 입출력 뿐만 아니라 로컬 도커 클라이언트에서 오가는 모든 명령어를 로그로 출력함
    - 단점
        - 도커 데몬을 포그라운드 상태로 실행해야 한다는 단점이 있음
  - `events`, `stats`, `system df`
      - `events`
        - 도커 데몬에 어떤 일이 일어나고 있는지 실시간 스트림 로그로 확인
          ```bash
          $ docker events
          $ docker system events
          ```
        - filter 옵션을 사용해 원하는 정보만 출력 가능 (`--filter 'type=..'`)
        - 출력 종류 : container, image, volume, network, plugin, daemon
          ```bash
          $ docker events --filter 'type=image'
          ```
      - `stats`
        - 모든 컨테이너의 자원 사용량을 스트림으로 출력함
          - 실행중인 모든 컨테이너의 CPU, 메모리 제한 및 사용량, 네트워크 입출력(I/O), 블록 입출력(하드웨어 입출력) 정보 출력
          ```bash
          $ docker stats
          ```
        - 스트림이 아닌 한번만 출력하는 방법
          ```bash
          $ docker stats --no-stream
          ```
      - `system df`
        - 도커에서 사용하고 있는 이미지, 컨테이너, 로컬 볼륨의 총 개수 및 사용 중인 개수, 크기, 삭제하여 확보 가능한 공간 을 출력함
          ```bash
          $ docker system df
          ```
  - CAdvisor
    - 구글이 만든 컨테이너 모니터링 도구 (오픈소스)
    - 컨테이너로 간단히 설치 가능 (도커 허브에 이미지 배포되어 있음)
    - 컨테이너별 실시간 자원 사용량 및 도커 모니터링 정보 등을 시각화하여 보여줌
    - 단점
        - 단일 도커 호스트만을 모니터링 가능
        - 여러개의 호스트로 도커를 사용하고 있다면, 쿠버네티스나 스웜 모드 등과 같은 오케스트레이션 툴 설치하여 프로메테우스, InfluxDB 등을 이용해 여러 호스트의 데이터를 수집하는 것이 일반적