DevOps 지식 허브
DevOps 지식 허브

효율적인 Docker 이미지 구축: 성능 최적화를 위한 모범 사례

효율적인 이미지 빌딩을 마스터하여 최고의 Docker 성능을 발휘하고 비용을 절감하세요. 이 포괄적인 가이드는 최소한의 베이스 이미지 선택, `.dockerignore` 활용, `RUN` 명령어를 결합한 레이어 최소화 등 Dockerfile 최적화를 위한 필수 모범 사례를 다룹니다. 멀티 스테이지 빌드가 빌드 및 런타임 종속성을 분리하여 이미지 크기를 획기적으로 줄이는 방법을 알아보세요. 이러한 실행 가능한 전략들을 구현하여 모든 애플리케이션을 위한 더 빠른 빌드, 신속한 배포, 향상된 보안 및 더 가벼운 컨테이너 풋프린트를 달성하세요.

43 조회수

효율적인 Docker 이미지 구축: 성능을 위한 모범 사례

Docker는 컨테이너화를 통해 일관성과 이식성을 제공하며 애플리케이션 배포에 혁신을 가져왔습니다. 그러나 단순히 Docker를 사용하는 것만으로는 충분하지 않습니다. 최적의 성능을 달성하고 운영 비용을 절감하며 보안을 강화하려면 Docker 이미지를 최적화하는 것이 중요합니다. 비효율적인 이미지는 빌드 시간 지연, 더 큰 저장 공간 차지, 배포 중 네트워크 트래픽 증가, 공격 표면 확대로 이어질 수 있습니다.

이 글에서는 간결하고 효율적이며 성능이 뛰어난 Docker 이미지를 구축하기 위한 핵심 원칙과 실용적인 모범 사례를 살펴봅니다. Dockerfile 최적화 방법, 다단계 빌드와 같은 강력한 기능 활용 방법, 이미지 레이어 의도적인 최소화 방법을 탐구하며, 기능적일 뿐만 아니라 빠르고 리소스를 적게 사용하는 컨테이너를 만드는 데 필요한 지식을 제공합니다.

이미지 효율성이 중요한 이유

최적화된 Docker 이미지는 전체 소프트웨어 개발 수명 주기에 걸쳐 연쇄적인 이점을 제공합니다:

  • 더 빠른 빌드: 컨텍스트가 작고 작업이 적을수록 이미지 생성이 빨라져 CI/CD 파이프라인이 가속화됩니다.
  • 저장 공간 비용 절감: 레지스트리와 호스트 머신에서 소비하는 디스크 공간이 줄어들어 인프라 비용이 절감됩니다.
  • 더 빠른 배포: 이미지가 작을수록 네트워크를 통해 더 빨리 전송되어 프로덕션 환경에서 신속한 배포 및 확장이 가능합니다.
  • 성능 향상: 로드할 데이터가 적을수록 컨테이너가 더 효율적으로 시작되고 실행됩니다.
  • 보안 강화: 종속성 및 도구가 적은 작은 이미지는 악용될 수 있는 잠재적 취약점이 적기 때문에 공격 표면이 줄어듭니다.
  • 향상된 개발자 경험: 피드백 루프가 빠르고 대기 시간이 줄어들어 더 생산적인 개발 환경에 기여합니다.

성능을 위한 Dockerfile 모범 사례

Dockerfile은 이미지의 청사진입니다. 이를 최적화하는 것이 효율성을 위한 첫 번째이자 가장 영향력 있는 단계입니다.

1. 최소한의 기본 이미지 선택

FROM 명령어는 이미지의 기반을 설정합니다. 더 작은 기본 이미지로 시작하면 최종 이미지 크기가 크게 줄어듭니다.

  • Alpine Linux: 매우 작고(약 5-8MB) glibc 또는 복잡한 종속성이 필요하지 않은 애플리케이션에 이상적입니다. 정적 컴파일 바이너리(Go, Rust) 또는 간단한 스크립트에 가장 적합합니다.
  • Distroless 이미지: Google에서 제공하는 이 이미지는 애플리케이션과 런타임 종속성만 포함하며 쉘, 패키지 관리자 및 기타 OS 유틸리티를 제거합니다. 뛰어난 보안성과 최소한의 크기를 제공합니다.
  • 특정 배포판 버전: ubuntu:latest 또는 node:latest와 같은 일반 태그는 피하십시오. 대신 ubuntu:22.04 또는 node:18-alpine과 같이 특정 버전을 고정하여 재현성과 안정성을 보장하십시오.
# 나쁨: 큰 기본 이미지, 잠재적으로 일관성이 없음
FROM ubuntu:latest

# 좋음: 더 작고 일관성이 있는 기본 이미지
FROM node:18-alpine

# 컴파일된 앱에 더 좋음 (해당하는 경우)
FROM gcr.io/distroless/static

2. .dockerignore 활용

.gitignore와 마찬가지로 .dockerignore 파일은 불필요한 파일이 빌드 컨텍스트로 복사되는 것을 방지합니다. 이렇게 하면 Docker 데몬이 처리해야 하는 데이터 양을 줄여 docker build 프로세스가 크게 빨라집니다.

프로젝트 루트에 .dockerignore라는 파일을 만듭니다.

# Git 관련 파일 무시
.git
.gitignore

# Node.js 종속성 무시 (컨테이너 내부에 설치)
node_modules
npm-debug.log

# 로컬 개발 파일 무시
.env
*.log
*.DS_Store

# 컨테이너 내부에 생성될 빌드 결과물 무시
build
dist

3. RUN 명령어 결합으로 레이어 최소화

Dockerfile의 각 RUN 명령어는 새 레이어를 생성합니다. 레이어는 캐싱에 중요하지만 너무 많으면 이미지가 비대해질 수 있습니다. 관련 명령어를 &&를 사용하여 단일 RUN 명령어로 결합합니다.

# 나쁨: 여러 레이어 생성
RUN apt-get update
RUN apt-get install -y --no-install-recommends git curl
RUN rm -rf /var/lib/apt/lists/*

# 좋음: 단일 레이어 생성 및 한 번에 정리
RUN apt-get update && \n    apt-get install -y --no-install-recommends git curl && \n    rm -rf /var/lib/apt/lists/*

: 항상 패키지를 설치하는 동일한 RUN 명령어에 정리 명령(예: Debian/Ubuntu의 경우 rm -rf /var/lib/apt/lists/*, Alpine의 경우 rm -rf /var/cache/apk/*)을 포함하십시오. 후속 RUN 명령어에서 제거된 파일은 이전 레이어의 크기를 줄이지 않습니다.

4. Dockerfile 명령어 최적 순서 지정

Docker는 명령어 순서를 기반으로 레이어를 캐싱합니다. 가장 안정적이고 변경 빈도가 낮은 명령어를 Dockerfile에서 먼저 배치하십시오. 이렇게 하면 Docker가 이전 빌드의 캐시된 레이어를 재사용할 수 있어 후속 빌드가 크게 빨라집니다.

일반적인 순서:
1. FROM (기본 이미지)
2. ARG (빌드 인수)
3. ENV (환경 변수)
4. WORKDIR (작업 디렉토리)
5. 종속성을 위한 COPY (예: package.json, pom.xml, requirements.txt)
6. 종속성을 설치하기 위한 RUN (예: npm install, pip install)
7. 애플리케이션 소스 코드를 위한 COPY
8. EXPOSE (포트)
9. ENTRYPOINT / CMD (애플리케이션 실행)

FROM node:18-alpine
WORKDIR /app

# 소스 코드보다 덜 자주 변경되는 파일이므로 먼저 배치
COPY package.json package-lock.json ./ 
RUN npm ci --production

# 애플리케이션 소스 코드는 더 자주 변경됨
COPY . . 

CMD ["node", "server.js"]

5. 특정 패키지 버전 사용

RUN 명령어를 통해 설치된 패키지(예: apt-get install mypackage=1.2.3)에 대한 버전을 고정하면 재현성을 보장하고 새 패키지 버전으로 인한 예기치 않은 문제나 크기 증가를 방지할 수 있습니다.

6. 불필요한 도구 설치 방지

애플리케이션 실행에 엄격하게 필요한 것만 설치하십시오. 개발 도구, 디버거 또는 텍스트 편집기는 프로덕션 이미지에 적합하지 않습니다.

다단계 빌드 활용

다단계 빌드는 효율적인 Docker 이미지 생성의 초석입니다. 단일 Dockerfile에서 여러 FROM 문을 사용할 수 있으며, 각 FROM은 새 빌드 단계를 시작합니다. 그런 다음 빌드 시간 종속성, 중간 파일 및 도구를 모두 남겨두고 한 단계에서 최종의 간결한 단계로 아티팩트를 선택적으로 복사할 수 있습니다.

이렇게 하면 최종 이미지 크기가 크게 줄어들고 런타임에 필요한 것만 포함하여 보안이 향상됩니다.

다단계 빌드 작동 방식

  1. 빌더 단계: 이 단계에는 애플리케이션을 컴파일하는 데 필요한 모든 도구와 종속성(예: 컴파일러, SDK, 개발 라이브러리)이 포함됩니다. 실행 가능한 아티팩트 또는 배포 가능한 아티팩트를 생성합니다.
  2. 러너 단계: 이 단계는 최소한의 기본 이미지로 시작하여 빌더 단계에서 필요한 아티팩트만 복사합니다. 빌더 단계의 나머지 모든 것을 폐기하여 최종 이미지를 훨씬 작게 만듭니다.

다단계 빌드 예시 (Go 애플리케이션)

Go 애플리케이션을 생각해 봅시다. 이를 빌드하려면 Go 컴파일러가 필요하지만 최종 실행 파일에는 런타임 환경만 필요합니다.

# 단계 1: 빌더
FROM golang:1.20-alpine AS builder

WORKDIR /app
COPY go.mod go.sum ./ 
RUN go mod download

COPY . . 
RUN CGO_ENABLED=0 GOOS=linux go build -a -ldflags '-s -w' -o myapp .

# 단계 2: 러너
FROM alpine:latest
WORKDIR /root/

# 빌더 단계에서 컴파일된 실행 파일만 복사
COPY --from=builder /app/myapp .

EXPOSE 8080
CMD ["./myapp"]

이 예에서:
* builder 단계는 golang:1.20-alpine을 사용하여 Go 애플리케이션을 컴파일합니다.
* runner 단계는 alpine:latest(훨씬 작은 이미지)로 시작하여 builder 단계에서 myapp 실행 파일만 복사하고 전체 Go SDK 및 빌드 종속성을 폐기합니다.

고급 최적화 기법

1. COPY --chown 사용 고려

파일을 복사할 때 --chown을 사용하여 루트가 아닌 사용자에게 소유자와 그룹을 설정합니다. 이는 보안 모범 사례이며 권한 문제를 방지할 수 있습니다.

RUN addgroup --system appgroup && adduser --system --ingroup appgroup appuser
USER appuser

# 비루트 사용자로 파일 직접 복사
COPY --chown=appuser:appgroup ./app /app

2. 민감한 정보 추가 금지

Dockerfile이나 이미지에 비밀(API 키, 비밀번호)을 직접 하드코딩하지 마십시오. 환경 변수, Docker Secrets 또는 외부 비밀 관리 시스템을 사용하십시오. 빌드 인수(ARG)는 이미지 기록에 표시되므로 비밀에 사용해도 위험합니다.

3. BuildKit 기능 사용 (사용 가능한 경우)

Docker 데몬이 BuildKit을 사용하는 경우(최신 Docker 버전에서 기본적으로 활성화됨), 종속성 다운로드를 가속화하기 위한 RUN --mount=type=cache 또는 이미 into 이미지를 만들지 않고 빌드 중에 민감한 데이터를 처리하기 위한 RUN --mount=type=secret과 같은 고급 기능을 활용할 수 있습니다.

# npm용 BuildKit 캐시 예시
FROM node:18-alpine

WORKDIR /app
COPY package.json package-lock.json ./

RUN --mount=type=cache,target=/root/.npm \n    npm ci --production

COPY . . 
CMD ["node", "server.js"]

결론 및 다음 단계

효율적인 Docker 이미지 구축은 컨테이너를 다루는 모든 개발자 또는 DevOps 전문가에게 중요한 기술입니다. 최소한의 기본 이미지 선택, Dockerfile 명령어 최적화, 다단계 빌드 활용의 힘을 통해 이러한 모범 사례를 의식적으로 적용함으로써 이미지 크기를 크게 줄이고, 빌드 및 배포 시간을 단축하며, 비용을 절감하고, 애플리케이션의 전반적인 보안 상태를 개선할 수 있습니다.

주요 내용:
* 작게 시작: 가능한 가장 작은 기본 이미지(Alpine, Distroless)를 선택하십시오.
* 레이어 스마트하게 사용: RUN 명령어를 결합하고 효과적으로 정리하십시오.
* 현명하게 캐싱: 캐시 히트를 최대화하도록 명령어 순서를 지정하십시오.
* 빌드 아티팩트 격리: 다단계 빌드를 사용하여 빌드 시간 종속성을 폐기하십시오.
* 간결하게 유지: 런타임에 절대적으로 필요한 것만 포함하십시오.

이미지 크기와 빌드 시간을 지속적으로 모니터링하십시오. docker history와 같은 도구를 사용하면 각 명령어가 최종 이미지 크기에 어떻게 기여하는지 이해하는 데 도움이 됩니다. 애플리케이션이 발전함에 따라 최적의 효율성과 성능을 유지하기 위해 Dockerfile을 정기적으로 검토하고 리팩토링하십시오.