v후비일지v

Secret은 보안이 필요한 민감한 데이터를 클러스터 단위에서 안전하게 관리하는 용도로 사용- Docker Swarm Mode에서 생성 된 Service에서 사용 가능도커 이미지나 컨테이너 환경에 비밀번호나 API 키와 같은 비밀을 저장하지 않도록 주의- Docker Secrets 또는 외부 비밀 관리자를 사용하여 민감한 데이터를 안전하게 관리(HashiCorp Vault)- Create a Docker secret ( Docker Swarm 설정 필요)docker swarm initecho "MySecretData" | docker secret create my_secret -echo password1234 | docker secret create my_db_password -Docker Swarm의 ..

실행 중인 컨테이너 보안 강화 및 지속적인 모니터링- Security Profiles -> AppArmor, SELinux, seccomp profiles 사용docker run --security -opt seccomp=/path/to/seccomp-profile.json {IMAGE_NAME}컨테이너를 최소 권한으로 실행 -> 취약점을 이용한 공격의 위험 감소- root 사용자는 운영체제 전반적인 권한을 가짐 -> 보안 상 고려해야 할 요소가 많은 계정- Linux Capabilities -> root 슈퍼유저의 권한을 세분화하여 부분적으로 권한을 허용하는 역할chown, dac_override, fowner, fsetid, kill, setgid, setuid, setpcap, net_bind_se..

컨테이너와 호스트는 기본적으로 격리 -> 무단 access를 방지 및 위험을 최소화 하기 위해 격리 강화- Namespace Isolation -> process, networking, fileSystem을 격리- Control Groups (cgroups) -> 리소스를 보호하기 위해 cpu, memory, i/o 리소스 제한컨테이너 내의 사용자 ID를 호스트의 다른 사용자 ID에 매핑하여 권한 상승 공격의 위험 감소- User Namespace -> Container Root 사용자를 Non-root 사용자(보안이 가오하 된)와 매핑-----cgroups 이란? gpt에 물어 보았다.**cgroup(control groups)**은 리눅스 커널 기능으로, 리소스 제한, 우선순위 지정, 계정 관리, 및..

Docker VS CloudCloud Native Application 보안- 컨테이너, 서버리스(ServerLess), 마이크로서비스 등 다양한 클라우드 기반 기술을 활용하여 application의 전체 생명 주기에 걸쳐 보안을 적용- 멀티 클라우드 환경에서의 데이터 보호, 동적 보안 적책 적용, 연속적인 보안 모니터링 등을 포함- Istio를 통한 TLS 통신 강제 적용 가능 (SSL 등) Docker 보안Cloud Native Application 보안범위컨테이너 수준에서의 보안 조치에 집중보다 광범위한 클라우드 환경과 여러 서비스를 통합하여 보안 강화접근 방식이미지와 컨테이너의 취약점 관리에 초점컨테이너 런타임 시 보안 정보 사용동적 환경에서의 정책 기반 보안과 통합된 로깅/모니터링 전략 사용기술..

컨테이너의 배포, 관리, 확장, 네트워킹을 자동화 해주는 도구수백, 수천개의 컨테이너와 호스트를 배포하고 스케줄링하기 위해 사용되는 도구컨테이너 오케스트레이션프로비저닝 및 배포구성 및 일정 조정리소스 할당컨테이너 가용성컨테이너 스케일링로드밸런싱 및 트래픽 라우팅컨테이너 상태 모니터링https://landscape.cncf:io/Docker Swarm여러 docker host를 클러스트로 묶어주는 컨테이너 오케스트레이션이름역할대응하는 명령어Compose여러 컨테이너로 구성된 Docker 애플리케이션을 관리 (주로 단일 Host)docker-composeSwarm클러스터 구축 및 관리 (주로 Multi Host)docker swarmServiceSwarm에서 클러스터 안의 서비스 (컨테이너 하나 이상의 집합..

DBdocker-compose2.yml 예제version: "3.1"services: my-db: platform: linux/amd64 # for apple chip image: mariadb:latest environment: - MARIADB_ALLOW_EMPTY_ROOT_PASSWORD=true - MARIADB_DATABASE=mydb ports: - 3306:3306 volumes: - D:\docker\docker-compose\data:/var/lib/mysql # for windows # - /Users/devops-docker/docker-compose/data:/var/lib/mysql # for macos실..

docker-compose.yml 파일 작성 명령어 정리명령어설명imageDocker Image 지정buildDockerfile을 이용하여 Docker Image 빌드command/entrypoint컨테이너 안에서 작동하는 명령어 지정ports/expose컨테이너 간 통신을 위한 Port 설정depends_on서비스 의존 관계 정의environment/env_file컨테이너 환경변수 지정container_name/lables컨테이너 정보 설정volumes/volumes_from컨테이너 데이터 관리 docker-compose {OPTIONS}Options설명up컨테이너 생성/시작ps컨테이너 목록 표시logs컨테이너 로그 출력run컨테이너 실행stop컨테이너 정지port공개 포트 번호 표시rm컨테이너 삭제c..

docker-compose1.ymlversion: "3.1"services: my-webserver: platform: linux/amd64 # for apple chip image: nginx:latest ports: - 80:80이전 방법$ docker run -p 80:80 nginxnginx가 실행된다.docker-compse로 실행$ docker-compose -f docker-compose1.yml up똑같이 확인!docker-compose ps로 확인 ( docker ps -a 와 유사 )$ docker-compose -f docker-compose1.yml pstime="2024-11-18T11:22:48+09:00" level=warning msg="D:\\do..

Container application을 정의 하고 실행하는 도구한 번에 여러 개의 컨테이너 동시 실행 -> 각 컨테이너별로 별도의 명령어 실행 가능다른 컨테이너와의 접속을 쉽게 구성- 복잡한 설정을 쉽게 관리하기 위한 도구- Docker 생성, 설정 관련 된 작업을 작성해 놓은 스크립트 파일 사용 -> Docker Compose 파일 docker-compose.yml 파일 예제version: '3.2'service: servicename: image: # optional command: # optional environment: # optional volumes: # optionl servicename2: # i..

$ docker volume lsDRIVER VOLUME NAMElocal 0b3fb1617177614ea07e12623c5b0eca079c3f3481f39b143c414d5ca9d6ac7elocal 72cc6c41a15d49a9926886ccb8ff3cf75d6f996615f5ce31feacb9523b2a7cb8local db515befc2d9d9c5d17eac19d652680bd69313af4a1819db07e857d0b7592bbdlocal f5435b9fd7cda704a27d1af8dbc6aceeb99e3ee7dfb206735f55c2f8aa6d4124현재 있는 volume 목록을 보여준다.$ docker volume rm f5435b9fd7cda704a27d1a..