[파이썬] 도커 컨테이너와 호스트 간 보안 설정

05 Sep 2023

python

도커는 가상화 기술을 이용해 애플리케이션을 격리된 환경에서 실행할 수 있게 해줍니다. 이로 인해 애플리케이션의 배포와 관리가 편리해지지만, 도커 컨테이너와 호스트 간의 보안 설정은 중요한 문제입니다. 이번 포스트에서는 도커 컨테이너와 호스트 간의 보안 설정을 파이썬을 사용하여 어떻게 할 수 있는지 알아보겠습니다.

1. 네트워크 설정

도커 컨테이너와 호스트 간의 통신은 네트워크를 통해 이루어집니다. 도커는 기본적으로 브리지 네트워크를 사용하여 컨테이너와 호스트를 연결합니다. 하지만 이는 보안상 취약할 수 있으므로, 추가적인 네트워크 설정이 필요합니다.

파이썬을 사용하여 도커 컨테이너를 실행할 때, network_mode 옵션을 이용하여 호스트의 네트워크를 사용하도록 설정할 수 있습니다. 이렇게 하면 컨테이너는 호스트와 동일한 네트워크에 속하게 됩니다.

import docker

client = docker.from_env()
container = client.containers.run('ubuntu', detach=True, network_mode='host')

위의 예제에서는 docker 모듈을 사용하여 컨테이너를 생성하고 실행합니다. network_mode 옵션에 'host'를 지정하여 호스트의 네트워크를 사용하도록 설정하였습니다.

2. 파일 시스템 설정

도커 컨테이너는 호스트와 파일 시스템을 공유하여 사용할 수 있습니다. 이는 컨테이너 내부에서 호스트의 파일에 접근할 수 있다는 의미이기도 합니다. 하지만 이러한 공유는 보안 취약점이 되기도 합니다.

파이썬을 사용하여 도커 컨테이너를 실행할 때, volumes 옵션을 이용하여 파일 시스템을 공유할 수 있습니다. 하지만 보안을 강화하기 위해, ro 옵션을 추가하여 읽기 전용으로 설정할 수 있습니다.

import docker

client = docker.from_env()
container = client.containers.run('ubuntu', detach=True, volumes={'/path/on/host': {'bind': '/path/on/container', 'mode': 'ro'}})

위의 예제에서는 volumes 옵션에 호스트의 경로와 컨테이너의 경로를 지정하여 파일 시스템을 공유하도록 설정하였습니다. mode 옵션에 'ro'를 지정하여 읽기 전용으로 설정하였습니다.

3. 환경 변수 설정

도커 컨테이너는 호스트와 환경 변수를 공유할 수 있습니다. 환경 변수는 애플리케이션의 설정 정보나 중요한 값들을 저장하는데 사용됩니다. 하지만 이러한 공유는 보안에 취약할 수 있으므로, 추가적인 환경 변수 설정이 필요합니다.

파이썬을 사용하여 도커 컨테이너를 실행할 때, environment 옵션을 이용하여 환경 변수를 설정할 수 있습니다. 이때, 중요한 정보가 포함된 환경 변수는 암호화하여 관리하는 것이 좋습니다.

import docker

client = docker.from_env()
container = client.containers.run('ubuntu', detach=True, environment={'SECRET_KEY': 'encrypted_value'})

위의 예제에서는 environment 옵션에 환경 변수를 지정하여 설정하였습니다. SECRET_KEY라는 환경 변수에는 암호화된 값을 사용하도록 설정하였습니다.

4. 컨테이너 실행 권한 설정

도커 컨테이너는 독립된 환경에서 실행되어야 하지만, 컨테이너 내부에서의 권한은 호스트의 권한과 밀접한 관련이 있습니다. 호스트와 공유되는 리소스에 대한 권한은 신중하게 설정되어야 합니다.

파이썬을 사용하여 도커 컨테이너를 실행할 때, privileged 옵션을 이용하여 컨테이너의 실행 권한을 설정할 수 있습니다. 이렇게 함으로써, 컨테이너 내에서 호스트와 동일한 권한을 사용할 수 있게 됩니다.

import docker

client = docker.from_env()
container = client.containers.run('ubuntu', detach=True, privileged=True)

위의 예제에서는 privileged 옵션에 True를 지정하여 컨테이너의 실행 권한을 설정하였습니다.

결론

도커 컨테이너는 편리하게 애플리케이션을 격리된 환경에서 실행할 수 있게 해주지만, 보안 설정은 중요한 문제입니다. 이번 포스트에서는 도커 컨테이너와 호스트 간의 보안 설정을 파이썬을 사용하여 어떻게 할 수 있는지 알아보았습니다. 네트워크 설정, 파일 시스템 설정, 환경 변수 설정, 그리고 컨테이너 실행 권한 설정에 대해 알아보았습니다. 보안 설정을 확실하게 수행하여 안전하고 신뢰할 수 있는 환경에서 애플리케이션을 실행하도록 합시다.