DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브 DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브

Pull과 Push를 사용한 Docker 이미지 관리 모범 사례

`docker pull` 및 `docker push`를 사용한 Docker 이미지 관리 모범 사례를 알아보세요. 이 가이드는 레지스트리에 이미지를 가져오고, 태그를 지정하고, 업로드하는 효율적인 워크플로우와 이미지 크기 최적화, 특정 태그를 통한 재현성 보장, CI/CD 파이프라인 통합 방안을 다룹니다. 더 원활한 개발 및 배포를 위해 Docker 이미지 관리 전략을 개선하세요.

Docker 이미지 관리 모범 사례: Pull과 Push

Docker 이미지는 애플리케이션을 랩톱에서 CI, 프로덕션까지 이동시키지만, pull 및 push 습관이 엉성하면 배포를 예측 불가능하게 만들 수 있습니다. 플로팅 태그에 의존하거나, 레지스트리 인증 확인을 건너뛰거나, 명명 계획 없이 이미지를 푸시하면 모든 명령이 성공하더라도 잘못된 빌드를 배포할 수 있습니다.

docker pulldocker push를 사용한 Docker 이미지 관리 모범 사례는 재현 가능한 태그, 안전한 레지스트리 워크플로, 스크립트 및 CI/CD 파이프라인에서 사용할 수 있는 간단한 명령에 중점을 둡니다.

docker pull 이해하기

docker pull 명령은 레지스트리에서 사용 가능한 방대한 사전 빌드된 Docker 이미지 생태계에 액세스하는 관문입니다. 레지스트리에서 로컬 Docker 데몬으로 이미지 또는 특정 태그를 다운로드합니다. 이는 기존 이미지를 자체 애플리케이션의 베이스로 사용해야 하거나 특정 컨테이너 이미지에 의존하는 서비스를 실행할 때 첫 번째 단계입니다.

기본 사용법

docker pull을 사용하는 가장 간단한 방법은 이미지 이름을 지정하고 선택적으로 태그를 추가하는 것입니다.

docker pull <이미지_이름>[:<태그>]

예시:

  • Ubuntu latest 태그 가져오기:

    docker pull ubuntu

    태그를 지정하지 않으면 기본값인 latest로 태그된 이미지를 다운로드합니다. 편의 태그로 취급하고 프로덕션 핀으로 사용하지 마십시오.

  • 특정 버전의 Alpine Linux 가져오기:

    docker pull alpine:3.18

    재현 가능한 빌드 환경을 보장합니다.

  • 특정 레지스트리에서 이미지 가져오기:

    docker pull registry.example.com/my-app:v1.2

    프라이빗 레지스트리나 Docker Hub 이외의 레지스트리를 사용하는 경우 레지스트리 호스트 이름을 포함해야 합니다.

docker pull 모범 사례

  • 항상 태그를 지정하세요: latest에 의존하면 레지스트리 소유자가 언제든지 해당 태그를 이동할 수 있으므로 예기치 않은 동작이 발생할 수 있습니다. alpine:3.18 또는 nginx:1.25-alpine과 같은 명시적 태그는 빌드를 더 쉽게 반복할 수 있게 해줍니다.
  • 프로덕션에는 변경 불가능한 참조를 사용하세요: 태그는 사람에게 친숙하지만 덮어쓸 수 있습니다. 엄격한 프로덕션 롤아웃의 경우 nginx:1.25-alpine@sha256:<다이제스트>와 같이 테스트된 태그와 이미지 다이제스트를 함께 배포하세요.
  • 사용하지 않는 이미지를 정리하세요: docker image prune을 사용하여 로컬 이미지 캐시를 정기적으로 정리하여 디스크 공간을 확보하세요. 가져온 이미지는 상당한 스토리지를 소비할 수 있습니다.
  • 이미지 레이어 이해하기: Docker 이미지는 레이어로 빌드됩니다. 이미지를 가져오면 이러한 레이어를 다운로드하는 것입니다. Docker는 이러한 레이어를 로컬에 지능적으로 캐시하므로 이미 가지고 있는 레이어와 공유되는 이미지를 가져오면 새 레이어만 다운로드되어 후속 가져오기가 더 빨라집니다.

docker push 이해하기

docker push 명령은 로컬에서 빌드하거나 수정한 Docker 이미지를 컨테이너 레지스트리에 업로드하는 데 사용됩니다. 이는 이미지를 협업자와 공유하거나, 클라우드 플랫폼에 배포하거나, 백업으로 저장하는 데 필수적입니다.

기본 사용법

이미지를 푸시하려면 레지스트리의 호스트 이름, 사용자 이름(또는 조직 이름), 이미지 이름 및 태그를 사용하여 적절하게 태그를 지정해야 합니다.

docker push <이미지_이름>[:<태그>]

전제 조건:

  1. docker login을 사용하여 푸시하려는 레지스트리에 로그인해야 합니다.
  2. 대상 레지스트리에 맞게 이미지 태그가 올바르게 지정되어야 합니다.

푸시를 위한 태그 지정

이미지를 푸시하려면 먼저 레지스트리의 대상 저장소에 대한 전체 경로로 태그를 지정해야 합니다. 표준 형식은 다음과 같습니다.

<레지스트리_호스트명>/<사용자명_또는_조직>/<이미지_이름>:<태그>

Docker Hub에 푸시하는 경우 레지스트리_호스트명은 일반적으로 생략되며 형식은 <사용자명>/<이미지_이름>:<태그>가 됩니다.

예시 워크플로:

my-app이라는 이미지를 빌드했고 v1.0 태그로 Docker Hub 계정(myusername)에 푸시한다고 가정해 보겠습니다.

  1. 이미지 빌드 (아직 하지 않은 경우):

    docker build -t my-app .

  2. Docker Hub용 이미지 태그 지정:

    docker tag my-app:latest myusername/my-app:v1.0

    참고: my-applatest 빌드를 특정 레지스트리 경로 myusername/my-app:v1.0에 태그 지정하고 있습니다.

  3. Docker Hub에 로그인:

    docker login

자동화에 계정 비밀번호를 입력하는 대신 Docker Hub 액세스 토큰 또는 레지스트리에서 권장하는 토큰 흐름을 사용하세요.

  1. 태그된 이미지 푸시:
    docker push myusername/my-app:v1.0

docker push 모범 사례

  • 의미 있게 태그를 지정하세요: latest 대신 설명적인 태그(예: 버전 번호, 릴리스 이름, staging, production)를 사용하세요. 이렇게 하면 특정 버전의 이미지를 더 쉽게 식별하고 관리할 수 있습니다.
  • 도움이 될 때 둘 이상의 태그를 사용하세요: 릴리스 이미지는 1.4.2git-3f2a9c1 태그를 모두 가질 수 있습니다. 버전은 사람을 돕고, 커밋 SHA는 소스를 가리킵니다.
  • 취약점에 대해 이미지 스캔: 푸시하기 전, 특히 공용 저장소 또는 민감한 환경에 푸시하기 전에 Docker Scout 또는 타사 스캐너와 같은 도구를 사용하여 알려진 취약점에 대해 이미지를 스캔하는 것이 좋습니다.
  • 이미지 크기 최소화: 더 작은 이미지는 푸시 및 풀이 더 빠릅니다. Dockerfile을 최적화하여 이미지 크기를 줄이세요(예: 다단계 빌드 사용, 중간 파일 정리, Alpine과 같은 최소 기본 이미지 사용).
  • 민감한 데이터에는 프라이빗 레지스트리 사용: 독점 코드나 민감한 구성의 경우 항상 프라이빗 레지스트리를 사용하고 액세스 제어를 적절하게 관리하세요.
  • 태그 지정 및 푸시 자동화: 자동화된 빌드 및 배포를 위해 CI/CD 파이프라인에 이미지 태그 지정 및 푸시를 통합하세요.

고급 시나리오 및 팁

여러 태그 가져오기 및 푸시하기

기본적으로 docker pulldocker push는 하나의 이미지 참조에서 작동합니다. 동일한 이미지 ID에 두 번 이상 태그를 지정하고 각 태그를 푸시할 수 있습니다. 일부 Docker 버전은 저장소의 모든 로컬 태그를 의도적으로 푸시하려는 경우 docker image push --all-tags <저장소>도 지원합니다.

예시: 여러 태그로 이미지 푸시하기

# 동일한 이미지 ID를 가리키는 'latest' 태그 추가
docker tag myusername/my-app:v1.0 myusername/my-app:latest

# 새 'latest' 태그 푸시
docker push myusername/my-app:latest

프라이빗 레지스트리 인증

프라이빗 레지스트리(예: AWS ECR, Google GCR, Azure ACR 또는 자체 호스팅 레지스트리)의 경우 가져오거나 푸시하기 전에 인증해야 합니다.

# Docker Hub 예시
docker login

# AWS ECR 예시 (종종 헬퍼 명령 사용)
aws ecr get-login-password --region <리전> | docker login --username AWS --password-stdin <aws_account_id>.dkr.ecr.<리전>.amazonaws.com

올바른 인증 방법은 항상 특정 레지스트리의 설명서를 참조하세요.

이미지 레이어 및 캐싱

Docker의 레이어드 파일 시스템은 풀을 효율적으로 유지합니다. 이미지를 가져올 때 Docker는 로컬 콘텐츠 저장소에서 기존 레이어를 확인하고 아직 가지고 있지 않은 레이어만 다운로드합니다. docker build 중에 BuildKit은 Dockerfile 명령어와 입력이 변경되지 않은 경우 이전 빌드의 캐시된 레이어를 재사용할 수도 있습니다.

이미지 최신 상태 유지

보안 패치 및 업데이트를 통합하기 위해 기본 이미지를 정기적으로 가져오고 애플리케이션 이미지를 다시 빌드하세요.

# 최신 기본 이미지 가져오기
docker pull python:3.11-slim

# 업데이트된 기본 이미지를 사용하여 애플리케이션 이미지 다시 빌드
docker build -t myusername/my-app:v1.1 .

# 새 버전 푸시
docker push myusername/my-app:v1.1

실용적인 핵심 내용

일상적인 작업에서는 워크플로를 단순하게 유지하세요. 명시적인 기본 이미지 태그를 가져오고, 버전 및 커밋 태그로 빌드하고, 결과를 스캔하고, 토큰으로 로그인한 다음, 배포하려는 참조만 푸시하세요. 프로덕션의 경우 테스트를 통과한 다이제스트를 기록하여 변경 가능한 태그가 변경되더라도 나중에 동일한 이미지를 가져올 수 있도록 하세요.