도커 교과서 15장 보안 원격 접근 및 CI/CD를 위한 도커 설정

15장 보안 원격 접근 및 CI/CD를 위한 도커 설정

도커 엔진과 API 분리시 컨테이너 도구의 선택지가 넓어지고, 로컬 명령행 도구로도 원격 컴퓨터에서 실행중인 도커 엔진 관리가 가능하다.

15.1 도커 API의 엔드포인트 형태

• 도커 엔진을 원격에서 접근할 수 있게 하려면 명시적으로 외부 접근을 허용해야 한다.
• HTTP 로 접근을 허용하는 경우는 반드시 피해야 한다.
• 도커 엔진이 HTTP로 접근 가능하게 설정될 경우 호스트 주소만 알면 누구든지 도커 엔진을 마음대로 사용할 수 있다.

15.2 보안 원격 접근을 위한 도커 엔진 설정

도커에는 API 요청을 받을 수 있는 채널이 두 가지가 있다.

A. 전송 계층 보안 (TLS)

• 도커 API 는 상호 TLS를 사용하여 서버와 클라이언트가 각각 인증서를 가진다.
• 서버의 인증서는 자신을 증명하고 전송을 암호화 하며, 클라이언트는 자신을 증명하는데 사용한다.
• TLS 는 많이 사용되는 방법이지만, 인증서 생성, 교체 등의 관리 오버헤드가 발생한다.

B. 보안 셸 (SSH)

• SSH 는 리눅스 서버에서 원격 접속하는 표준 프로토콜이다.
• SSH 는 클라이언트에 대한 원격 접근 권한관리가 상대적으로 쉽다.

상호 TLS를 이용해 도커 엔진의 보안 원격 접근 설정하기

A. 인증서와 키 파일 쌍을 두개 만든다.

B. 인증서를 배포할 컨테이너를 실행한다.

C. 두 개의 볼륨이 마운트 된다.

D .컨테이너가 갖고 있던 인증서와 daemon.json 파일을 노드로 복사한다.

$ mkdir diamol-certs

# ca key 쌍 생성
$ openssl genrsa -out ca.key 2048

$ openssl req -x509 -new -nodes -key ca.key -days 365 -out ca.crt

# 인증서 생성
$ openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr
$ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -out server.crt -day 365

$ docker container run -v /diamol-certs:/certs -v /etc/docker:/docker diamol/pwd-tls:server

$ vi /etc/docker/daemon.json

{
  "hosts": ["unix://var/run/docker.sock", "tcp://0.0.0.0:2376"],
  "tls": true,
  "tlscacert": "/diamol-certs/ca.pem",
  "tlskey": "/diamol-certs/server-key.pem",
  "tlscert": "/diamol-certs/server-cert.pem"
}

$ sudo systemctl restart docker

보안 셸 (SSH)

• SSH 의 장점은 도커 CLI가 표준 SSH 클라이언트를 사용하기 때문에 도커 엔진 쪽에서 설정을 변경할 필요가 없다.
• 사용자 인증은 서버가 대신 처리, 인증서를 생성할 필요가 없다.
• 호스트에서 원격 접속에 사용할 계정을 추가하기만 하면 끝.

15.3 도커 컨텍스트를 사용해 원격 엔진에서 작업하기

• 도커 컨텍스트를 사용하면 원격으로 접근할 도커 엔진을 편리하게 전환할 수 있다.
• 도커 컨텍스트는 도커 CLI 에서 원격 접근에 필요한 모든 상세 정보를 지정하면 생성할 수 있다.

$ docker context create pwd-tls --docker "host=tcp://$pwdDomain, ca=/tmp/pwd-certs/ca.pem, cert=/tmp/pwd-certs/client-cert.pem, key=/tmp/pwd-certs/client-key.pem"

$ docker context create local-tls --docker "host=ssh://user@server"

$ docker context ls

$ docker context use pwd-tls

• 컨텍스트에는 원격 Docker 엔진 간에 대상을 전환하기 위해 필요한 정보 (엔드포인트, 인증서 등)이 포함된다.
• 컨텍스트는 한 번 생성되면 영구적으로 저장되며, 새로운 터미널 세션에서도 사용할 수 있다.
• 그러나, 특정 컨텍스트를 활성화한 상태는 터미널 세션마다 개별적이다.
• 만약, 해당 설정을 다른 터미널 세션에도 모두 영구적으로 설정하고싶으면 기본값 환경변수로 지정하면 된다.

$ export DOCKER_CONTEXT='pwd-tls'

15.4 지속적 통합 파이프라인에 지속적 배포 추가하기

• 인증 수단은 절대로 형상 관리 도구에 저장하지 않는다.
• 자동화 서버는 비밀값을 빌드 서버 내부에 안전하게 보관하고, 파이프라인 작업에 활용한다.
• CI/CD 파이프라인은 Docker 및 Docker Compose 명령어를 역할에 맞게 사용해 복잡성을 줄이고 효율성을 높여야 한다.

$ vi Jenkinsfile

pipeline {
    agent any
    environment {
       REGISTRY = "registry.local:5000"
       UAT_ENGINE = "ip172-18-0-69-bthrciiosm4g00b8b730-2376.direct.labs.play-with-docker.com:80"
       PROD_ENGINE = "ip172-18-0-69-bthrciiosm4g00b8b730-2376.direct.labs.play-with-docker.com:80"
    }
    stages {
        stage('Verify') {
            steps {
                dir('ch15/exercises') {
                    sh 'chmod +x ./ci/00-verify.bat'
                    sh './ci/00-verify.bat'
                }
            }
        }
        stage('Build') {
            steps {
                dir('ch15/exercises') {
                    sh 'chmod +x ./ci/01-build.bat'
                    sh './ci/01-build.bat'
                }
            }
        }
        stage('Test') {
            steps {
                dir('ch15/exercises') {
                    sh 'chmod +x ./ci/02-test.bat'
                    sh './ci/02-test.bat'
                }
            }
        }
        stage('Push') {
            steps {
                dir('ch15/exercises') {
                    sh 'chmod +x ./ci/03-push.bat'
                    sh './ci/03-push.bat'
                    echo "Pushed web to <http://$REGISTRY/v2/diamol/ch15-timecheck/tags/list>"
                }
            }
        }
        stage('UAT') {
            steps {
                withCredentials([file(credentialsId: 'docker-ca.pem', variable: 'ca'),
                                 file(credentialsId: 'docker-cert.pem', variable: 'cert'),
                                 file(credentialsId: 'docker-key.pem', variable: 'key')]) {                    
                    dir('ch15/exercises') {
                        sh 'chmod +x ./ci/04-uat.bat'
                        sh './ci/04-uat.bat'
                        echo "Deployed to UAT"
                    }
                }
            }
        }
        stage('Await approval') {
            steps {
                input message: 'Deploy to prod?', ok: 'Do it!'
            }
        }
        stage('Production') {
            steps {
                withCredentials([file(credentialsId: 'docker-ca.pem', variable: 'ca'),
                                 file(credentialsId: 'docker-cert.pem', variable: 'cert'),
                                 file(credentialsId: 'docker-key.pem', variable: 'key')]) {                    
                    dir('ch15/exercises') {
                        sh 'chmod +x ./ci/05-deploy.bat'
                        sh './ci/05-deploy.bat'
                        echo "Deployed to PROD"
                    }
                }
            }
        }
    }
}

$ vi ./ci/00-verify.bat

docker version && docker-compose version

$ vi ./ci/01-build.bat

docker-compose -f docker-compose.yml -f docker-compose-build.yml build --pull

$ vi ./ci/02-test.bat

docker-compose up -d && docker-compose ps && docker-compose down

$ vi ./ci/03-push.bat

docker-compose -f docker-compose.yml -f docker-compose-build.yml push

$ vi ./ci/04-uat.bat

docker-compose --host tcp://$UAT_ENGINE --tlsverify --tlscacert $ca --tlscert $cert --tlskey $key -p timecheck-uat -f docker-compose.yml -f docker-compose-uat.yml up -d

$ vi ./ci/05-deploy.bat

docker-compose --host tcp://$PROD_ENGINE --tlsverify --tlscacert $ca --tlscert $cert --tlskey $key -p timecheck-prod -f docker-compose.yml -f docker-compose-prod.yml up -d

A. 검증 단계

B. 빌드 단계

C. 테스트 단계

D. 원격 도커 개발기 배포

F. 원격 도커 운영기 배포

15.5 도커 리소스의 접근 모델

도커 엔진의 보안은 두 가지가 있다.

• 명령행 도구와 API 사이의 통신을 암호화
• 허가받은 사용자만 API 접근 허용

권한을 조정할 수 있는 기능은 없다.

모든것을 할수 있거나, 아무것도 할 수없는 것 둘 중 하나다.

쿠버네티스에는 역할 기반 접근 제어 모델을 사용한다.

이를 통해 사용자 접근, 리소스 제어 등을 세세히 컨트롤 할 수 있다.