Skip to content

Docker

도커(Docker)는 리눅스의 응용 프로그램들을 소프트웨어 컨테이너 안에 배치시키는 일을 자동화하는 오픈 소스 프로젝트이다. 도커 웹 페이지의 기능을 인용하면 다음과 같다:

도커 컨테이너는 일종의 소프트웨어를 소프트웨어의 실행에 필요한 모든 것을 포함하는 완전한 파일 시스템 안에 감싼다. 여기에는 코드, 런타임, 시스템 도구, 시스템 라이브러리 등 서버에 설치되는 무엇이든 아우른다. 이는 실행 중인 환경에 관계 없이 언제나 동일하게 실행될 것을 보증한다.

도커는 리눅스에서 운영 체제 수준 가상화의 추상화 및 자동화 계층을 추가적으로 제공한다. 도커는 cgroups와 커널 이름공간과 같은 리눅스 커널, 또 aufs와 같은 유니언 가능 파일 시스템의 리소스 격리 기능을 사용하며, 이를 통해 독립적인 "컨테이너"가 하나의 리눅스 인스턴스 안에서 실행할 수 있게 함으로써 가상 머신을 시작하여 유지보수해야 하는 부담을 없애준다.

리눅스 커널의 이름공간 지원은 대체적으로 프로세스 트리, 네트워크 사용자 ID, 마운트된 파일 시스템을 포함한 운영 환경에 대한 응용 프로그램의 관점을 격리시키지만, 커널의 cgroup들은 CPU, 메모리, 블록 입출력, 네트워크를 포함한 리소스 제한을 제공한다. 버전 0.9부터 도커는 libvirt, LXC (리눅스 컨테이너), systemd-nspawn을 통한 추상화된 가상화 인터페이스를 사용하는 것 뿐 아니라 리눅스 커널이 제공하는 가상화 기능을 직접 사용하기 위한 유일한 수단으로 libcontainer 라이브러리를 포함하고 있다.

Cagegory

Ecosystem

Docker 생태계를 이루는 관련 프로젝트 모음

PaaS

  • tsuru - Open source, extensible and Docker-based Platform as a Service (PaaS).

FaaS

  • OpenFaaS - Serverless Functions Made Simple

Volume

Automatic Updates

Compose

Swarm

Utilities

Software router

ETC

  • Nvidia-docker
  • Docker-OSX
  • Docker:Windows
  • CNCF
  • LXC
  • jib - 프로젝트를 빌드함과 동시에 컨테이너 이미지까지 만들어서 원하는 저장소에 푸시.
  • Runlike - 도커 컨테이너 실행 명령 출력하기
  • SideKick - 명령어 2개로 어떤 앱이든 VPS에서 셀프호스팅하게 해주는 CLI 도구

루트(root)가 아닌 사용자로 Docker 관리 하기

Docker는 기본적으로 sudo를 필요로 한다. sudo없이 docker를 사용하고 싶을 경우 Docker Group에 등록해야 한다.

docker 그룹을 생성한다: 

$ sudo groupadd docker

사용자를 docker 그룹에 추가한다. 

$ sudo usermod -aG docker $USER

그룹 멤버십 재평가(re-evaluated)하려면 로그아웃 하고 다시 로그인하세요.

WARNING

가상 머신에서 Linux를 실행 중인 경우 변경 사항을 적용하려면 가상 머신을 다시 시작해야 할 수도 있습니다.

newgrp명령을 실행하여 그룹에 대한 변경 사항을 활성화: 

$ newgrp docker

Resource limit

--cpu-share=1024 or -c 1024
기본값은 1024로 CPU 할당 비율 1을 의미
2048 설정 후 CPU 작업 시 일반 Container 보다 2배 많은 시간을 할당한다는 의미
--cpuset-cpus="0,3"
1, 4번째 CPU 사용
--cpuset-cpus="0-2"
1, 2, 3번째 CPU 사용
--cpus=0.2
cpu 사용 비율을 0.2개 만큼(20%) 사용.

기존에 실행 중인 container의 자원을 조정하고자 한다면 docker update를 이용. 

// cpu 1개만 사용하도록 변경
docker update --cpuset-cpus=1 [container_name] 

// cpu 사용량을 0.5 비율로 사용하도록 변경
docker update --cpu-shares 512 [container_name]

// cpu 사용량을 20% 비율로 사용하도록 변경
docker update --cpus=0.2 [container_name]

컨테이너 내부에서 stress 명령으로 테스트해보자.

Resource prune

용량이 부족할 때 사용하는 방법들 모음.

Docker 디스크 사용량은 다음 명령으로 확인: 

docker system df

잘 모르것고 한방에 처리하고싶다: 

docker system prune -a

이 명령어는 다음을 삭제합니다.

  • 사용하지 않는 컨테이너
  • 사용하지 않는 네트워크
  • 사용하지 않는 이미지 (-a 옵션 포함 시 태그가 없는 모든 이미지 삭제)
  • 사용하지 않는 빌드 캐시

아래는 몇 가지 예시: 

## 모든 중지된 컨테이너 삭제
docker container prune

## 모든 컨테이너 강제 삭제
docker rm -f $(docker ps -aq)

## 사용하지 않는 이미지 삭제
docker image prune -a

## 모든 이미지 삭제
docker rmi $(docker images -q)

## 사용하지 않는 볼륨 삭제
docker volume prune

## 모든 볼륨 삭제
docker volume rm $(docker volume ls -q)

## 사용하지 않는 네트워크 삭제
docker network prune

## 모든 네트워크 삭제
docker network rm $(docker network ls -q)

## 빌드 캐시 삭제
docker builder prune

Healthcheck

Docker Compose#Healthcheck 항목 참조. 명령 사용 예시 있음.

Example

  • docker pull [IMAGE_NAME]: Download image.
  • docker images: List of image.
  • docker images --digests: 이미지 목록을 다이제스트와 함께 출력.
  • docker rmi [IMAGE_NAME|IMAGE_ID]: 이미지를 제거한다.
  • docker rm [CONTAINER_ID]: 컨테이너를 삭제한다.
  • docker start [CONTAINER_ID]: 컨테이너를 시작한다.
  • docker attach [CONTAINER_ID]: 컨테이너에 접속한다.
  • docker ps -a: 전체 컨테이너 상태를 확인한다.
  • docker run -rm -i -t [IMAGE_NAME] [COMMAND]: 이미지를 실행한다. -rm은 종료 후 컨테이너를 제거하는 명령이며, -i는 대화형 모드를 사용한다는 의미이다.
  • docker run -d -p [HOST_PORT]:[GUEST_PORT] [IMAGE_NAME]: 이미지를 실행한다. -d는 컨테이너를 백그라운드에서 실행시키며, -p는 포트 포워딩을 적용한다.
  • docker system df -v: 볼륨 사용량 확인.
  • docker run -it --storage-opt size=120G fedora /bin/bash: 실행 시 디스크 용량 제한.

Swarm

docker container ls
스웜 컨테이너 목록을 열거한다.
docker container exec -it [IMAGE_NAME] bash
지정된 스웜 컨테이너의 bash를 대화형으로 실행한다.

Script

docker ps --all --format "{{.ID}}" | xargs docker rm -f
생성된 전체 컨테이너 강제 제거.
docker images --all --format "{{.ID}}" | xargs docker rmi -f
생성된 전체 이미지 강제 제거.
docker run -d --restart=unless-stopped -p 80:8080 rancher/server
Host(80)와 Guest(8080)를 연결
컨테이너가 Detached모드(Background)로 실행(-d)
종료 상태에 관계없이 항상 컨테이너를 재시작 한다. 다만 컨테이너가 중지상태(stop)가 된 경우 시작하지 않는다(--restart=unless-stopped)
docker run --rm -i -t ubuntu
--rm: 컨테이너 종료 후 자동으로 제거한다.
-i: 상호작용 모드를 사용.
-t: 가상 TTY를 할당한다.
docker run -d --restart unless-stopped redis
Start containers automatically | Docker Documentation
컨테이너를 중지하지 않는한 항상 실행한다.
docker tag local-image:tagname new-repo:tagname
태그 남기기
docker push new-repo:tagname
DockerHub에 업로드.
docker ps -a --format "table {{.ID}}\t{{.Names}}\t{{.Image}}\t{{.Status}}\t{{.CreatedAt}}" --filter name=ddrm
ddrm 이름이 prefix 인 컨테이너 목록 조회.

VM vs Docker

Vm_vs_docker.jpg

Sharing files with host machine

간단하게 설명하면 Volume을 사용한다. 

$ docker run -v /Users/bob/myapp/src:/src [...]

X11 on Docker

수동 연결 방법

먼저 host 머신에서 docker 이름의 사용자가 실행하는 모든 프로그램을 X윈도우에 접근 가능하도록 권한을 설정합니다: 

xhost +local:docker

DISPLAY 환경 변수 확인: 

echo $DISPLAY

Docker 실행: 

docker run --rm -it -v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=$DISPLAY ubuntu

그리고 게스트(컨테이너 내부)에서: 

apt update
apt install x11-apps
xeyes

## 또는 OpenGL 테스트를 하고싶다면:
apt update
apt install mesa-utils
glxgears

X윈도우 접근 권한을 원상복구하려면: 

xhost -local:docker

docker user 외에도 아래처럼 X windows를 로그인한 user로 설정해도 된다. 

xhost +local:$USER

...

xhost -local:$USER

Firefox docker example 

FROM ubuntu:14.04

RUN apt-get update && apt-get install -y firefox

# Replace 1000 with your user / group id
RUN export uid=1000 gid=1000 && \
    mkdir -p /home/developer && \
    echo "developer:x:${uid}:${gid}:Developer,,,:/home/developer:/bin/bash" >> /etc/passwd && \
    echo "developer:x:${uid}:" >> /etc/group && \
    echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer && \
    chmod 0440 /etc/sudoers.d/developer && \
    chown ${uid}:${gid} -R /home/developer

USER developer
ENV HOME /home/developer
CMD /usr/bin/firefox

Build: 

$ docker build -t firefox .

it and run the container with: 

docker run -ti --rm \
       -e DISPLAY=$DISPLAY \
       -v /tmp/.X11-unix:/tmp/.X11-unix \
       firefox

Docker with XQuartz 

IP_ADDRESS=$(ifconfig en0 | grep inet | awk '$1=="inet" {print $2}')
DISPLAY_INDEX=0

open -a XQuartz
xhost + $IP_ADDRESS

docker run --rm -it -e DISPLAY=$IP_ADDRESS:$DISPLAY_INDEX -v /tmp/.X11-unix:/tmp/.X11-unix  ...

Firefox in macOS

First run XQuartz. You can execute XQuartz app directly or type in the command below. 

open -a XQuartz

In XQuartz preference, go to "Security" and check "Allow connections from network clients"

Then go to terminal and run following commands. 

ip=$(ifconfig en0 | grep inet | awk '$1=="inet" {print $2}')  
xhost + $ip

Here you can run Firefox in a Docker container with Download folder mounted! 

docker run -d --name firefox -e DISPLAY=$ip:0 -v /tmp/.X11-unix:/tmp/.X11-unix -v $HOME/Downloads:/root/Downloads jess/firefox

Docker Firefox/Chromium web

VNC 서버가 열리고, Web Browser를 통해 접속한다. Firefox#Docker container for Firefox 항목 참조. Chromium#Docker container for Chromium 도 있다.

Remove all script

Remove all process: 

$ docker ps --all | awk '{printf("%s\n", $1);}' | sed -n -e '2,$p' | xargs docker stop
$ docker ps --all | awk '{printf("%s\n", $1);}' | sed -n -e '2,$p' | xargs docker rm

Remove all images: 

$ docker images --all | awk '{printf("%s\n", $3);}' | sed -n -e '2,$p' | xargs docker rmi

할당될 IP 범위 수정

/etc/docker/daemon.json파일을 다음과 같이 수정하면 된다: 

{
  "bip": "172.20.0.1/16",
  "default-address-pools": [
    {"base": "172.21.0.1/16", "size": 24}
  ]
}
  • bip - bip는 docker container가 사용하는 bridge network의 대역이다. (Bridge IP)
  • default-address-pools - docker network 에 할당할 IP 범위 (compose 만들 때도 사용된다) -> 이런 네트워크는 호스트 PC에서 br-6d0b06b43ab1 느낌의 인터페이스 이름이 할당된다

WARNING

VPN 설정 후 충돌이 자주 나더라

iptables 변화 확인

다음 명령으로 전체 iptables 규칙 확인 가능. 

sudo iptables -L

다음과 같이 출력된다: 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DOCKER (3 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.19.0.2           tcp dpt:8889
ACCEPT     tcp  --  anywhere             172.19.0.3           tcp dpt:8889
ACCEPT     tcp  --  anywhere             172.19.0.2           tcp dpt:8888
ACCEPT     tcp  --  anywhere             172.19.0.3           tcp dpt:8888
ACCEPT     tcp  --  anywhere             172.19.0.2           tcp dpt:8554
ACCEPT     tcp  --  anywhere             172.19.0.3           tcp dpt:8554
ACCEPT     tcp  --  anywhere             172.19.0.4           tcp dpt:6379
ACCEPT     tcp  --  anywhere             172.19.0.2           tcp dpt:1935
ACCEPT     tcp  --  anywhere             172.19.0.3           tcp dpt:1935

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-ISOLATION-STAGE-2 (3 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

특히 "Chain DOCKER" 항목을 보라.

실행된 컨테이너의 포트를 확인할 수 있다.

자세한 내용은 iptables 또는 Docker:Iptables 항목 확인.

Control Docker with systemd 

sudo systemctl enable docker.service
sudo systemctl enable containerd.service

다른 systemd의 service 파일에 종속성으로 추가하고 싶다면: 

[Unit]
After=docker.service

...

NTP (시간 동기화)

다음과 같이 볼륨을 연결하거나: 

volumes:
    - "/etc/timezone:/etc/timezone:ro"
    - "/etc/localtime:/etc/localtime:ro"

TZ 환경변수를 사용한 방법도 있다.

Docker log file and options

파일 경로는 다음 명령으로 확인할 수 있다. 

docker inspect --format='{{.LogPath}}' [컨테이너ID]

전체 docker 설정

daemon.json 파일 수정.

  • 리눅스 /etc/docker
  • 윈도우 C:\ProgramData\docker\config\ 
{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3",
    "labels": "production_status",
    "env": "os,customer"
  }
}

그리고 docker 서비스를 재시작합니다.

특정 컨테이너만 설정 

docker run --log-opt max-size=100m --log-opt max-file=5 my-app:latest

Change data directory

기본 설치시 /var/lib/docker경로에 저장된다. 데몬 설정파일(/etc/docker/daemon.json)을 아래와 같이 수정하면 디렉토리를 변경할 수 있다. 

{
  "data-root": "/data/docker",
  "storage-driver": "overlay2"
}

Docker in Docker

자세한 내용은 Docker-in-Docker 항목 참조.

Proxy 서버 연결

도커 서비스 데몬 폴더 생성: 

sudo mkdir -p /etc/systemd/system/docker.service.d

프록시 서버 설정파일 생성 

sudo vi /etc/systemd/system/docker.service.d/http-proxy.conf

http-proxy.conf 파일 내용 작성: 

[Service]
Environment="HTTP_PROXY=http://proxy.example.com:80"
Environment="HTTPS_PROXY=https://proxy.example.com:443"
Environment="NO_PROXY=localhost,127.0.0.1"

도커 데몬 재시작 

sudo systemctl daemon-reload
sudo systemctl restart docker

적용 결과 확인 

sudo systemctl show --property=Environment docker

Exit code

exit code 0: 성공적으로 종료됨

가장 일반적인 경우로, 컨테이너 내부의 init 프로세스가 자신의 역할을 다하고 정상적으로 종료되었을 때, 또는 docker stop에 의해 종료되었을 때에 해당된다. SIGTERM에 의해 종료되어도 0으로 출력되는걸로 보아, 두 코드 간에 큰 차이는 없는걸로 보인다.

exit code 125: 도커 명령어 자체가 실패한 경우

잘못된 도커 명렁어 또는 플래그로 인해 수행 자체가 성공되지 않은 경우에 해당한다. 사실상 docker ps -a 출력에서는 볼 수 없는 에러 코드이다. 

[root@docker-node01 ~] docker run --foo busybox; echo $?
 unknown flag: --foo
See 'docker run --help'.
125

exit code 126: 컨테이너의 커맨드가 실패한 경우

컨테이너 실행 시, 커맨드의 수행이 실패된 경우이다. 명령어 자체는 유의미하지만 실행 불가능한 경우 등에 해당된다. 컨테이너가 생성되어 Created 상태이지만, 실행 자체가 불가능하므로 docker ps -a에서는 출력되지 않는 코드이다. 

[root@docker-node01 ~] docker run busybox /etc; echo $?
 docker: Error response from daemon: OCI runtime create failed: container_linux.go:348: starting container process caused "exec: \"/etc\": permission denied": unknown.
126

exit code 127: 컨테이너의 커맨드가 존재하지 않는 경우

컨테이너에 설정된 커맨드가 컨테이너 내부에 존재하지 않아 수행할 수 없는 경우이다. 126과 마찬가지로 컨테이너가 생성은 되지만 실행은 되지 않는다. 

[root@docker-node01 ~] docker run busybox alicek106; echo $?
 docker: Error response from daemon: OCI runtime create failed: container_linux.go:348: starting container process caused "exec: \"alicek106\": executable file not found in $PATH": unknown.
127

exit code 128 + n: 리눅스 시그널 n에 해당하는 오류가 발생한 경우

255를 제외한 아래의 경우에 해당된다.

exit code 130: (128+2) Control + C로 종료된 경우

컨테이너가 실행되었을 때, 인터럽트 루틴(Control + C) 에 의해 init 프로세스가 전달된 경우이다. 인터럽트 신호인 SIGINT의 코드가 2이므로 종료 코드는 130이 된다. 사실상 개발자가 의도적으로 컨테이너를 종료시키는 경우가 아니면 거의 볼 수 없다. mysql과 같은 컨테이너를 interactive하게 (-it) 생성하고 Control + C를 연속적으로 입력하면 이 코드를 인위적으로 만들어 낼 수 있다. 

[root@docker-node02 ~] docker ps -a --format 'table {{.Names}}\t{{.Image}}\t{{.Status}}'
 NAMES               IMAGE               STATUS
sharp_knuth         mysql:8             Exited (130) 58 seconds ago

error code 137

간단히, 메모리 크기가 부족할 수 있다.

만약 macOS의 Docker로 실행할 경우 컨테이너가 137 에러로 계속 죽는다면, 가용메모리 최대 크기를 변경해보자. Docker Desktop > Preference 선택한후, 메모리 최대크기 변경.

exit code 137 & 143: (128+9, 15) 컨테이너가 SIGKILL 및 SIGTERM 을 받은 경우

docker stop 명령어를 사용하면 도커 데몬은 컨테이너의 init 프로세스에 SIGTERM을 전송하며, 일반적으로 Gracefully exit라고 부른다. 일정 시간이 지나도 종료되지 않을 시 SIGKILL을 전송하게 되고, 이 때의 종료 코드는 137이 된다. docker stop이 SIGKILL로 전환되도록 하는 시간 제한은 docker stop의 -t 플래그를 통해 초 단위로 설정할 수 있으며 기본 값은 10초이다. 

[root@docker-node02 ~] docker stop --help

Usage:    docker stop [OPTIONS] CONTAINER [CONTAINER...]

Stop one or more running containers

Options:
  -t, --time int   Seconds to wait for stop before killing it (default 10)

docker kill 및 docker rm -f 명령어 또한 SIGKILL 시그널을 사용하기 때문에, 마찬가지로 종료 코드는 137로 출력된다. 참고로, 컨테이너의 메모리 자원 부족으로 인한 OOM 시 컨테이너의 강제 종료에도 SIGKILL이 사용되어 137로 출력된다. 

[root@docker-node02 ~] docker run -itd --name test busybox
464960f8e54857810c17043cc7cec1b50f98abe74ebb7554e6c3a376415117f5

[root@docker-node02 ~] docker stop test
test

[root@docker-node02 ~] docker ps -a --format 'table {{.Names}}\t{{.Image}}\t{{.Status}}'
NAMES               IMAGE               STATUS
test                busybox             Exited (137) 3 minutes ago

exit code 255: 종료 코드가 범위를 벗어나는 경우

에러 코드가 -1인 경우, 즉 명백한 에러인 경우 해당된다. 컨테이너 내부의 서비스가 내뿜은 에러 로그를 확인하는 것이 좋다.

Tree view

Use dockviz: 

$ docker run -it --rm -v /var/run/docker.sock:/var/run/docker.sock nate/dockviz images --tree

Docker vs Vagrant

Docker vs Vagrant

Check out this infographic comparing Vagrant and Docker:

  • 메인환경에 대한 격리가 필요하고 빠르게 여러 VE 이미지 생성이 필요한 경우 Docker를 추천.
  • 테스트 및 디버깅, 다양한 시나리오를 원할 경우 Docker를 추천.
  • 가상환경 전체를 분리해야할 경우 Vagrant를 추천.

Troubleshooting

Cannot install gcc

Ubuntu docker image에서 gcc가 정상적으로 설치되지 않는 현상이 있다. 이경우 아래와 같은 명령을 우선적으로 입력한다. 

RUN echo "deb http://cn.archive.ubuntu.com/ubuntu/ trusty main universe multiverse restricted" > /etc/apt/sources.list
RUN echo "deb http://cn.archive.ubuntu.com/ubuntu/ trusty-updates main universe multiverse restricted" >> /etc/apt/sources.list

Error getting IP address: Something went wrong running an SSH command 

Machine default already exists in VirtualBox.
Starting machine default...
(default) Starting VM...
Too many retries waiting for SSH to be available.  Last error: Maximum number of retries (60) exceeded
Regenerate TLS machine certs?  Warning: this is irreversible. (y/n): Regenerating TLS certificates
Detecting the provisioner...
Error getting SSH command: Something went wrong running an SSH command!
command : cat /etc/os-release
err     : exit status 255
output  :
Setting environment variables for machine default...


                        ##         .
                  ## ## ##        ==
               ## ## ## ## ##    ===
           /"""""""""""""""""\___/ ===
      ~~~ {~~ ~~~~ ~~~ ~~~~ ~~~ ~ /  ===- ~~~
           \______ o           __/
             \    \         __/
              \____\_______/


Error getting IP address: Something went wrong running an SSH command!
command : ip addr show dev eth1
err     : exit status 255
output  :
docker is configured to use the default machine with IP
For help getting started, check out the docs at https://docs.docker.com

Error checking TLS connection: Error getting driver URL: Something went wrong running an SSH command!
command : ip addr show dev eth1
err     : exit status 255
output  :

아래와 같이 기본 머신을 제거한 후, 다시 설치하면 된다. 

$ docker-machine rm default
$ docker-machine create --driver virtualbox default

Adjust memory and swap accounting

When users run Docker, they may see these messages when working with an image: 

WARNING: Your kernel does not support cgroup swap limit. WARNING: Your
kernel does not support swap limit capabilities. Limitation discarded.

To prevent these messages, enable memory and swap accounting on your system. Enabling memory and swap accounting does induce both a memory overhead and a performance degradation even when Docker is not in use. The memory overhead is about 1% of the total available memory. The performance degradation is roughly 10%.

To enable memory and swap on system using GNU GRUB (GNU GRand Unified Bootloader), do the following:

Edit the /etc/default/grub file: 

GRUB_CMDLINE_LINUX="cgroup_enable=memory swapaccount=1"

Update GRUB: 

$ sudo update-grub

IP forwarding problems 

DNS resolver found in resolv.conf and containers can't use it

위와 같은 문제가 발생될 경우 dnsmasq 서비스를 Diable 시키거나, Docker의 DNS 서버를 수정해야 한다. Docker 데몬의 설정파일 경로는 /etc/docker/daemon.json이며 아래의 내용을 추가하면 된다. 

{
    "dns": ["8.8.8.8", "8.8.4.4"]
}

이후 서비스를 재시작 하면 된다. 

$ sudo service docker restart

Unable to fetch some archives

Docker에서 apt-get를 사용할 때 아래와 같은 메시지가 출력될 수 있다. 

E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

Advanced Package Tool#Unable to fetch some archives 항목을 참조.

OCI runtime create failed 

docker: Error response from daemon: OCI runtime create failed: container_linux.go:346: starting container process caused "exec: \"$ECHO_CMD\": executable file not found in $PATH": unknown.

실행시 발생되는 에러. 이후 발생되는 에러 메시지를 확인하면 된다. 참고로, ENTRYPOINT 등에 입력하는 환경변수는 정상적으로 작동하지 않을 수 있다. 그 이유는 아래와 같다. 

$ docker inspect example
...
            "Entrypoint": [
                "$ECHO_CMD"
            ],
...

inspect 명령으로 확인하면 bash나 sh를 거치지 않고 바로 환경변수로 실행한다. 이러면 ENV로 설정한 환경변수가 로드되지 않는다. 따라서 bash -c "{COMMAND}"와 같은 방식으로 bash나 sh를 경유하여 실행하면 된다.

Dockerfile build remove source code from final image

COPY를 사용하여 코드를 복사했을 경우 최종 이미지에 이를 반영하지 않도록 하는 방법에 대한 정리. 멀티 스테이지 빌드(multi-stage build)를 사용하면 된다. 

FROM alpine AS builder
RUN apk add --no-cache <build_dependencies>
COPY source_code /tmp/source_code
RUN make -C /tmp/source_code && \
        mkdir /libraries/
        cp /tmp/lib/* /libraries/
        rm -rf /tmp/*

FROM alpine
RUN apk add --no-cache <runtime_dependencies>
COPY --from=builder /libraries/ /libraries/

또는 실험적 기능인 --squash옵션을 사용하면 된다.

Cannot create an item in a locked collection

우분투 터미널에서 docker login 명령어로 도커 로그인을 시도했을 때, 아래와 같은 에러가 뜰 때 이렇게 해결할 수 있다. 

Remote error from secret service: org.freedesktop.Secret.Error.IsLocked: Cannot create an item in a locked collection
Error saving credentials: error storing credentials - err: exit status 1, out Cannot create an item in a locked collection.

gnupg2 를 설치한다. gnupg2 는 안전한 통신과 데이터 저장을 위한 디지털 시그니쳐와 증명서 암호화 툴이다. 

$ sudo apt install gnupg2 pass

다시 로그인 하면 아래와 같은 결과가 출력된다. 결과: 

Password:
    WARNING! Your password will be stored unencrypted in /home/User_id/.docker/config.json.
    Configure a credential helper to remove this warning. See
    https://docs.docker.com/engine/reference/commandline/login/#credentials-store

    Login Succeeded

로컬 /home/User_id/.docker/config.json path 에 내 패스워드가 암호화되지 않고 저장된다는 경고가 뜨고 로그인은 성공한다. 만약 내 암호가 이렇게 저장 되는 것이 내키지 않는다면, 경고문과 함께 안내되는 주소로 접속 해 가이드를 따르면 된다.

참고로 아래와 같은 형식으로 저장된다. 

{
    "auths": {
        "registry.my.com": {
            "auth": "********"
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/18.09.7 (linux)"
    }
}

Container loaltime

Host가 Linux 또는 MacOS인 경우

1. Host의 localtime을 설정한다 (올바르게 설정되어 있다면 바로 2번으로 넘어가자) 

ln -sf /usr/share/zoneinfo/Asia/Seoul /etc/localtime

2. Host의 localtime 파일을 (ro)읽기전용으로 바인딩하고 Docker Container를 실행한다. 

docker run -v /etc/localtime:/etc/localtime:ro ...

Host가 Windows인 경우

타임존 설정 환경변수 설정과 함께 Docker Container를 실행한다. 

docker run -e "TZ=Asia/Seoul" ...

Bash script 

#!/bin/bash
export DEBIAN_FRONTEND=noninteractive
ln -fs /usr/share/zoneinfo/America/New_York /etc/localtime
apt-get install -y tzdata
dpkg-reconfigure --frontend noninteractive tzdata

name must be valid as a dns name component

swarm을 구축할 때, 다음과 같은 에러가 발생될 수 있다. 

... desc = name must be valid as a dns name component

스택을 통해 생성되는 네트워크 이름이 <stack_name>_<network_name>와 같은 형태여야 한다. 스택 이름에 점(.)과 같은 이름이 들어가지 않게 해야 한다.

YAML 파일에서 달러($) 사용하기

docker-compose에 필요한 yaml파일에 달러($)를 사용하면 환경변수로 확장된다. 이를 막고, 달러($)문자를 직접 사용하기 위해 이중달러($$; double-dollar sign) 를 사용하면 된다.

invalid reference format

빌드시, 아무것도 없이 invalid reference format 메시지만 출력되면 이미지 이름을 확인해보자. _ 등 몇 가지 문자가 사용 금지다.

No space left on device

결과만 말하면 inode 문제다. 자세한 내용은 No space left on device#Docker 항목 참조.

FromAsCasing 

 1 warnings found (use docker --debug to expand):
 - FromAsCasing: 'as' and 'FROM' keywords' casing do not match (line 5)

FROM과 as 키워드의 대소문자가 일치하지 않음. 대소문자 맞춰주자.

LegacyKeyValueFormat 

 2 warnings found (use docker --debug to expand):
 - LegacyKeyValueFormat: "ENV key=value" should be used instead of legacy "ENV key value" format (line 7)
 - LegacyKeyValueFormat: "ENV key=value" should be used instead of legacy "ENV key value" format (line 8)

ENV 명령어에서 ENV key value 형식이 사용되고 있으며, 이는 구식입니다. 현재는 ENV key=value 형식을 사용해야 합니다.

Container orchestration

See also

  • Docker Ecosystem
  • Vagrant
  • Fig
  • 히로쿠 (Heroku) & 도쿠 (Dokku)
  • Packer: 범용적 머신/컨테이너 이미지 생성기.
  • OpenVSwitch
  • LXC
  • Packer
  • Podman: Podman은 컨테이너 이미지를 생성하고 관리하는 비데몬성 커맨드라인 툴입니다. 런타임 환경없이 컨테이너로 작업할 수 있어 소프트웨어 구성 요소에 대해 부여된 권한을 보다 타이트하게 관리할 수 있습니다.
  • Buildah: Buildah는 빌드하는 동안 이미지 레이어가 커밋되는 방식과 데이터에 접근하는 방식을 제어할 수 있는 빌드 도구입니다. 이를 사용하기 위해 컨테이너 런타임이 필요없으며 루트 권한 또한 요구되지 않습니다. Buildah는 이미지 자체 내 빌드 도구를 포함하지 않기에 구축하는 이미지 사이즈를 축소시킵니다.
  • Skopeo: Skopeo는 레지스트리 서버 및 컨테이너 호스트 간에 이미지를 이동, 서명 및 검증할 수 있는 유연한 유틸리티입니다. Skopeo를 통해 시스템 외부 이미지를 검사할 수 있습니다.
  • UnionFS (Union File System)
  • ForeverVM - AI 생성 코드를 안전하게 실행하고 유지하는 샌드박스
  • Landrun - root나 컨테이너 없이 Landlock으로 모든 리눅스 프로세스 샌드박싱

Favorite site

How to install

Get Started

Welcome! We are excited that you want to learn Docker. The Docker Get Started Tutorial teaches you how to:

  1. Set up your Docker environment (Orientation)
  2. Build an image and run it as one container (Containers)
  3. Scale your app to run multiple containers (Services)
  4. Distribute your app across a cluster (Swarms)
  5. Stack services by adding a backend database (Stacks)
  6. Deploy your app to production (Deploy your app)

Tutorial

Guide

Deploy guide

Tip

Article

References

  1. Docker_Tutorials_GUI_-_ROS_Wiki.pdf 

  2. Docker_tutorial_by_nacyot.pdf 

  3. Blog.nacyot.com_-_To_deploy_Ruby_on_Rails_applications_to_Docker.pdf 

  4. Running_a_Docker_Rails_Development_Environment.pdf 

  5. Pyrasis-com.tar.gz 

  6. Lekdw-Docker_connected_to_the_external_network.pdf 

  7. 20_Awesome_Docker_Containers_for_a_Desktop_User.pdf 

  8. Container-orchestration-with-docker-swarm.pdf 

  9. Zero-downtime-docker-deployment.pdf 

  10. Dockerizing_a_NodeJS_web_app_-_Node.pdf 

  11. Docker_Reference_Architecture_-_Designing_Scalable_Portable_Docker_Container_Networks.pdf 

  12. 44bits_-_is-docker-container-a-virtual-machine-or-a-process.pdf