Docker 데몬(Docker Daemon)에 대해

1. Docker 데몬이란 무엇인가?

Docker 데몬(Docker Daemon)은 Docker 시스템에서 중추적인 역할 을 하는 백그라운드 프로세스입니다. Docker 데몬은 컨테이너, 이미지, 네트워크, 볼륨 등을 관리하며, 사용자 요청에 따라 Docker 엔진의 핵심 작업을 수행합니다. 기본적으로 데몬은 클라이언트의 명령을 수신하고 이를 처리하여 컨테이너의 생성을 포함한 다양한 작업을 수행하는 역할을 합니다.
Docker 데몬은 클라이언트의 명령을 받고 이를 실행하는 서버 역할을 하기 때문에, 사용자 인터페이스와는 별개의 존재입니다. 데몬은 시스템이 부팅될 때 자동으로 시작되며, 지속적으로 백그라운드에서 동작하면서 Docker 관련 명령을 처리합니다.

2. Docker 데몬의 주요 역할

Docker 데몬은 다음과 같은 주요 기능을 담당합니다:

2.1 컨테이너 관리

Docker 데몬의 가장 핵심적인 기능은 컨테이너의 생성, 실행, 중지, 삭제 를 관리하는 것입니다. 클라이언트가 docker run, docker stop, docker rm 등의 명령을 실행하면, 실제로는 Docker 클라이언트가 데몬에게 해당 작업을 요청하고, 데몬이 이를 처리하게 됩니다.예를 들어, docker run 명령이 실행되면 Docker 데몬은 다음과 같은 작업을 처리합니다:

• 지정된 이미지를 기반으로 컨테이너를 생성
• 필요한 네트워크 및 저장소 설정을 초기화
• 컨테이너 내부에서 프로세스를 시작
• 컨테이너 실행 상태를 지속적으로 모니터링

2.2 이미지 관리

Docker 데몬은 이미지의 생성, 삭제, 저장소와의 통신 을 담당합니다. 이미지는 컨테이너의 청사진으로, Docker 데몬은 레지스트리(예: Docker Hub)로부터 이미지를 풀링(pulling)하거나 푸시(pushing)하는 작업을 수행합니다.
이미지가 존재하지 않는 상태에서 컨테이너를 생성하려고 하면, 데몬은 자동으로 레지스트리에서 해당 이미지를 가져와 로컬 시스템에 저장한 후, 그 이미지를 사용해 컨테이너를 생성합니다.

2.3 네트워킹 관리

Docker 데몬은 Docker 컨테이너 간의 네트워킹을 관리합니다. 각각의 컨테이너는 기본적으로 분리된 네트워크 환경을 가지며, Docker 데몬은 이러한 네트워크 설정을 처리합니다. 데몬은 컨테이너에 IP 주소를 할당하고, 브리지 네트워크를 생성하며, 컨테이너 간에 안전하게 통신할 수 있도록 네트워크를 격리합니다.

2.4 볼륨 관리

데몬은 또한 볼륨 관리 를 통해 컨테이너에 지속적인 저장소를 제공합니다. 컨테이너가 중지되거나 삭제되더라도 데이터를 유지하기 위해 볼륨을 사용하며, 이러한 볼륨은 Docker 데몬에 의해 생성되고 관리됩니다.

3. Docker 데몬의 동작 방식

Docker 데몬은 기본적으로 서버-클라이언트 구조에서 서버 역할 을 합니다. Docker 클라이언트가 명령을 입력하면, 이 명령은 내부적으로 데몬에 전달됩니다. 데몬은 클라이언트의 요청을 처리하고, 결과를 반환합니다.

3.1 서버-클라이언트 구조

Docker의 아키텍처는 클라이언트-서버 모델 을 따릅니다. 이 모델에서는 Docker 클라이언트가 docker 명령을 입력하면, 클라이언트는 Docker 데몬과 통신하여 명령을 전달하고, 데몬은 이를 처리한 후 클라이언트에 응답을 보냅니다.
Docker 데몬은 클라이언트와의 통신을 위해 Unix 소켓 또는 네트워크 인터페이스를 사용합니다. 예를 들어, 로컬에서 실행되는 Docker 클라이언트는 Unix 소켓을 통해 데몬과 통신하고, 원격으로 Docker 데몬과 통신할 때는 TCP 소켓을 사용할 수 있습니다.

• Unix 소켓 : 로컬에서 Docker 클라이언트와 데몬 간의 기본적인 통신 방법입니다.
• TCP 소켓 : 원격 시스템에서 Docker 클라이언트와 데몬이 통신할 때 사용됩니다.

3.2 API 기반 통신

Docker 데몬은 REST API 를 통해 명령을 수신하고 처리합니다. Docker 클라이언트가 보내는 명령은 API 요청으로 변환되며, Docker 데몬은 이러한 요청을 처리합니다. 예를 들어, docker run 명령은 실제로 데몬에게 컨테이너 생성을 요청하는 API 호출로 변환됩니다.
Docker API는 다양한 HTTP 메서드를 통해 데몬과 상호작용할 수 있게 하며, 외부 애플리케이션도 이를 통해 Docker를 제어할 수 있습니다.

3.3 리소스 관리

Docker 데몬은 Linux 커널의 기능인 네임스페이스(Namespace)와 컨트롤 그룹(Cgroups)을 사용하여 각 컨테이너의 리소스를 관리하고 격리합니다. 이를 통해 컨테이너는 서로 간섭 없이 독립적으로 실행될 수 있으며, 호스트 시스템의 자원을 효율적으로 사용할 수 있습니다.

• 네임스페이스 : 프로세스, 파일 시스템, 네트워크 등 시스템의 다양한 자원을 격리하여 각 컨테이너가 독립적인 실행 환경을 가질 수 있도록 해줍니다.
• 컨트롤 그룹(Cgroups) : CPU, 메모리, 디스크 I/O, 네트워크 대역폭 등 각 컨테이너가 사용할 수 있는 시스템 자원을 제한합니다.

4. Docker 데몬과 컨테이너의 상태 관리

Docker 데몬은 컨테이너의 상태를 지속적으로 모니터링하고 관리합니다. 데몬은 각 컨테이너의 시작, 정지, 재시작, 삭제 등의 작업을 처리하며, 컨테이너의 상태 변화에 따라 적절한 조치를 취합니다.

4.1 컨테이너의 상태

Docker 데몬은 컨테이너의 상태를 관리하며, 각각의 컨테이너는 다음과 같은 상태를 가질 수 있습니다:

• created : 컨테이너가 생성되었지만 아직 시작되지 않은 상태
• running : 컨테이너가 정상적으로 실행 중인 상태
• paused : 컨테이너의 모든 프로세스가 일시 중지된 상태
• stopped : 컨테이너가 중지된 상태
• exited : 컨테이너가 실행을 완료하고 종료된 상태

이 상태 관리는 데몬에 의해 수행되며, 사용자가 컨테이너의 상태를 확인하거나 조작할 수 있도록 도와줍니다.

4.2 컨테이너 재시작 정책

Docker 데몬은 컨테이너의 재시작 정책도 관리합니다. 예를 들어, 애플리케이션이 비정상적으로 종료되었을 때, 데몬은 설정된 재시작 정책에 따라 컨테이너를 자동으로 다시 실행할 수 있습니다.

다음은 재시작 정책을 설정하는 예시입니다:

docker run --restart always my-node-app

위 명령은 컨테이너가 예기치 않게 종료되더라도 데몬이 자동으로 컨테이너를 재시작하도록 설정하는 방법입니다.

5. Docker 데몬의 설치와 관리

Docker 데몬은 대부분의 리눅스 배포판에서 쉽게 설치할 수 있으며, 데몬의 설정 파일을 통해 동작 방식을 세밀하게 조정할 수 있습니다. Docker 데몬은 보통 systemd와 같은 서비스 매니저를 통해 관리되며, systemctl 명령어로 시작, 중지, 재시작할 수 있습니다.

5.1 데몬 상태 확인

데몬이 정상적으로 실행되고 있는지 확인하려면 다음 명령어를 사용할 수 있습니다:

systemctl status docker

이 명령어는 Docker 데몬의 상태를 출력하며, 데몬이 제대로 동작하고 있는지 확인할 수 있습니다.

5.2 데몬 로그 확인

데몬의 로그를 확인하면 컨테이너 생성, 중지, 오류 발생 등의 정보를 파악할 수 있습니다. 다음 명령어로 로그를 확인할 수 있습니다:

journalctl -u docker.service

이 명령은 Docker 데몬과 관련된 모든 로그를 출력하며, 문제 발생 시 디버깅에 유용합니다.

5.3 데몬 설정 변경

Docker 데몬의 설정은 /etc/docker/daemon.json 파일을 통해 조정할 수 있습니다. 예를 들어, 기본적으로 데몬이 사용하는 로그 드라이버를 변경하거나, 원격에서 접근할 수 있도록 API 서버를 열 수 있습니다.다음은 daemon.json 파일의 예시입니다:

{
  "log-driver": "json-file",
  "storage-driver": "overlay2",
  "insecure-registries": ["my-registry.com"]
}

설정을 변경한 후에는 데몬을 재시작해야 적용됩니다:

systemctl restart docker

6. Docker 데몬의 보안

Docker 데몬은 시스템 자원에 대한 접근 권한을 가지고 있기 때문에, 보안 관리가 매우 중요합니다. Docker 데몬을 보호하기 위해 다음과 같은 보안 대책을 적용할 수 있습니다:

6.1 루트 권한 최소화

Docker 데몬은 루트 권한으로 실행되므로, 컨테이너가 데몬과 상호작용할 때 보안 위협이 발생할 수 있습니다. 이를 방지하기 위해 rootless mode 를 사용하여 루트 권한 없이 Docker 데몬을 실행할 수 있습니다.

6.2 TLS를 통한 보안 통신

Docker 데몬과 클라이언트 간의 통신은 기본적으로 보호되지 않으므로, TLS 인증서를 사용 하여 보안을 강화할 수 있습니다. 특히, 원격에서 데몬에 접근할 때는 반드시 TLS 설정을 적용해야 합니다.

결론

Docker 데몬은 Docker 플랫폼의 핵심 구성 요소로, 컨테이너와 관련된 모든 작업을 처리하고 관리하는 중요한 역할을 합니다. 데몬은 네트워킹, 저장소, 컨테이너 상태 관리 등을 담당하며, 클라이언트와의 통신을 통해 다양한 명령을 처리합니다. Docker를 제대로 활용하려면 Docker 데몬의 동작 방식을 이해하고, 이를 적절하게 관리하는 것이 매우 중요합니다.

이 글을 통해 Docker 데몬의 역할과 작동 원리를 깊이 있게 이해하고, 이를 바탕으로 실무에서 효율적으로 Docker 시스템을 관리할 수 있기를 바랍니다.