สำหรับ Week มองว่าการทบทวนเรื่อง Container ของตัวผมเอง ใช้งานมาระดับนึง มีเรื่องที่รู้ และไม่รู้ด้วย ตาม Style การเรียนของผม แบบลักจำมาจากงาน Meetup ครับ มาลองดูสรุปสำหรับสัปดาห์นี้กันครับ
Table of Contents
1. Why Container?
ก่อนที่เราจะรู้ว่าทำไมถึงต้องใช้ Container ต้องมา Recap กันก่อน ว่าเมื่อก่อนเอา Software ไปติดตั้งที่อื่นกันยังไงครับ จาก Code > Build > Executable File เจ้าตัว Executable File มาห่อเป็น Software Package เอาติดตั้ง
ยุคต่างๆของการติดตั้ง Software Package เล่าไว้หน่อยเผื่อน้องๆจบใหม่อ่าน โผล่เข้ามายุค Container เลย โดยมี 3 ยุค
- Bare Metal - กว่าจะมาลง Software Package ได้ ต้องมาสนใจพวก OS / Runtime / Network / Permission / Dependency ต่างๆ (Package อาจจะ Require เช่น Lib สำหรับต่อ DB) เป็นต้น
- ถ้าอะไรพังตัวใคร ตัวมัน ลงใหม่ - Virtual Machine - รวมตัว Bare Metal ห่อไว้เป็นไฟล์ เวลาจะทำอะไร จะได้สะดวกขึ้น ไม่ต้องกังวลว่าแก้แล้วจะพัง Rollback ได้
- การใข้ VM ใช้ตัว Resource ได้ไม่เต็มที่นัก - Container - หาดูจากภาพแล้วจะพบว่า Layer ของ Virtual Machine ยังมี overhead ในส่วนการใช้ Resource จากตัว Hypervisor ตัว Container เลยเข้ามาเติมเต็มใช้ Resource ให้คุ้มๆ
Note: Magic ที่ช่วยให้ Container มีอิสระ (Isolation) โดย key ที่ทำให้ Container เกิดขึ้นมา เนื่องจากตัว Linux Kernel มีตัว C-Group / Namespace ขึ้น
Ref:
- What Are Namespaces and cgroups, and How Do They Work? - NGINX
- Understanding Linux Namespace Types | by Luis Soares | Medium
2. Containers Basics
- Docker Architecture
รูปแบบการทำงานของ Docker จะเป็นตัว Client-Server โดยมีส่วนประกอบที่สำคัญ ดังนี้
- docker Client (docker cli) - program ที่ให้ผู้ใช้ป้อน docker command เพื่อจัดการ Docker Deamon
- Docker Host (เครื่องที่ลง docker)
- Docker Deamon (dockerd) - เป็น Process ที่จัดการ Request มาจาก docker cli เช่น
1. ดึง Image จาก Container Registry ถ้าไม่มี
2. สั่งให้ Image ทำงานเป็น Container เป็นต้น
- Image - พื้นที่ Local ที่เก็บ Image
Note: Image Software Package ที่รวม OS / Runtime / App ที่เบากว่า VM
- Container - Image ที่ถูกใช้งานแล้ว - Container Registry - ที่เก็บ Image / Plugins / Extensions ส่วนกลาง ที่มาแชร์ใช้งานร่วมกัน ปกติจะเป็น hub.docker.com
- พวก Image / Plugins / Extensions Explore Docker's Container Image Repository | Docker Hub
- Docker Command
- docker run - สั่งให้ Image ทำงานเป็น Container ตาม Config ที่กำหนด
- d ให้ทำงานแบบ background mode
- p <host>:<container port> กำหนด port ที่ใช้เชื่อมต่อจากภายนอก
docker run -d -p 8090:80 inv-api-image
- docker stop - หยุดการทำงานของ Container โดยที่ตัว App ทำงานจัดการ State เรียบร้อย (Graceful shutdown)
- docker kill - force shutdown container / data ระหว่างนั้นหาย ใช้กรณีที่เกิด Infinite Loop
- docker pause / docker unpause - หยุดการทำงาน / และให้ทำงานต่อ โดยที่ตัว Container ยัง Hold Resource อยู่
แบบลึกๆดูจากนี้เลย restart - pause vs stop in docker - Stack Overflow - docker start - เปิด Container ทำงาน
- docker images - ตรวจสอบ imageที่อยู่ใน Docker Host
- docker ps / docker ps -a : แสดง Container ที่มี ถ้า -a แสดงทั้งหมด
- docker rm <<container id / container name>> : ลบ Container
- docker rmi <<image id / image name>> : ลบ Image
- docker exec -it <<container id / container name>> <<shell type>> : เข้าไปใน Container จัดการ
docker exec -it inv-api sh docker exec -it inv-api bash
สำหรับคำสั่งอื่นๆดูเพิ่มได้จาก https://docs.docker.com/engine/reference/run/
3. Build Containers
Dockerfile - ไฟล์ที่เก็บ Step การสร้าง Container Image ขึ้นมา ไม่ว่าจะ Run กี่รอบจะได้ผลลัพธ์เหมือนเดิม โดยใน Dockerfile แยกออกเป็น 2 ส่วน
- BUILD TIME - มี Keyword ยังนี้
- FROM บอกว่าจะเอา Base Image มาจากไหน
- WORKDIR กำหนด Directory ปัจจบุัน เพื่อทำงาน อารมร์แบบ CD
- COPY - เอาไฟล์จาก Context มาใส่ที่ Image
- ADD - เอาไฟล์จาก Context มาใส่ที่ Image เหมือนกัน แต่ไม่แนะนำ เพราะมี issue security ถ้ามี zip มันจะแตกออกมาเลย
- RUN - Run Linux Command ตามแต่ละ Distro เลย
- LABEL <KEY>:<VALUE> ใส่ Information ของ Image - RUN TIME - มี Keyword ยังนี้
- EXPOSE บอก port ที่จะให้เปิดออก
- ENTRYPOINT
- CMD
เมื่อได้ Dockerfile ไฟล์มาแล้ว การแปลงาก Dockerfile เป็น Container Image จะใช้คำสั่ง docker build มี Pattern ประมาณนี้
docker build -t <Container_name:Tag_version> --no-cache <context>
- -t บอกชื่อ Image มี 2 แบบ Container_name หรือ Container_name : Tag_version
- Context บอกว่า File สำหรับที่ใช้ Build (พวก Dockerfile) อยู่ที่ไหน ปกติใส่ . หรือ ถ้า Custom File -f <Your_DockerFile>
docker build -t inv-api:1.0.0 . docker build -t inv-api:1.0.0 -f abc.DockerFile docker build -t inv-api:1.0.0 --no-cache -f abc.DockerFile
- --no-cache บอกว่าระหว่าง build ไม่ต้องให้ใช้ cache มันจะช่วยแก้ปัญหาตอน build แล้ว App ยังทำงานเหมือนเดิมได้ ปกติถ้าไม่ใส่ --no-cache ตอนสั่ง build ติดกันถี่ๆ มันจะขึ้นคำว่า CACHE
นอกจาก docker build แล้วมีตัวใหม่อย่าง docker buildx
- ถ้าไม่ต้องการไฟล์อะไรใช้เข้าไปใน Container ให้ใช้ตัว .dockerignore
4. Publish Container
จากข้อ 3 ตอนนี้ image ของเราจะอยู่ในเครื่องของเราเท่านั้น หากจะเอาไปให้คนอื่น หรือคนในทีมใช้งาน ต้องให้ Container Registry มาใช้ จะเป็นของ docker / aws / azure / gcp หรือ ทำ local ใช้เองก็ได้ โดยคำสั่งที่เกี่ยวข้องกับการ Push จะมี
- docker login - เข้า Container Registry
docker login -u <your_username>
- docker tag - กำหนดเวอร์ชันของ image ที่คนอ่านเข้าใจ ปกติ image มันจะมี hash ของมันอยู่แล้ว
ปล. ถ้าใช้ docker build มันจะ tag มาให้อยู่แล้ว - docker push - เอา Container Image ขึ้นไป Public Registry
docker pull <<docker_username>>/inv-api //เจ้าอื่นๆ docker tag inv-api <<YourRegisry>>.azurecr.io/<<YourNameSpace>>/inv-api docker pull dsregistry.azurecr.io/dsnamespace/inv-api
5. Base Image
ใน docker มี image หลายแบบ โดยแบบที่เราควรรู้จัก มีดังนี้
- scratch - Base Image ตัวแรกเลย
- Official Image - Image ที่มาจากผู้ผลิตที่น่าเชื่อถือ มี Best Practice มาระดับนึง โดยจะมี Official Doc ชัดเจน และรูปแบบการ Support ชัดเจน
- Long Term Support
- Extended Long Term Support
โดยถ้าเราดูใน docker hub จะมีหลายชื่อเลย มีตัวที่ต้องสนใจ
- debian - Project แม่ของ Ubuntu โดยมี Codename ให้จดจำ เช่น bookworm / bulleye
- -slim - docker image ที่ตัด lib บางตัวให้เล็กลง debian > debian-slim
- -alpine - OS ขนาดเล็ก สำหรับ Container
- windowsservercore - สำหรับ Deploy Legacy App อย่าง .NET Framework ที่ไป Linux ไม่ได้
เราจะเลือก Base Image ยังไง ?
- size - deploy ไว
- debian มี apt เป็น package manager
- alpine ใช้ musl libc จะมี apk เป็น package manager - Official Image
- ระยะเวลา Support ควรเป็น Long Term Support
- Update ล่าสุดของ Image
- ในแง่ Security อาจจะต้องเข้าไปดูแต่ละ Layer ว่ายัดอะไรมาบ้าง
6. single stage vs multi-stage
จากหัวข้อที่ 5 ตอนนี้ เราจะทำ Image เป็น Single Stage Build แต่ทว่า มันอาจจะมีขนาดที่ใหญ่เกิดไป เลยต้องแยกออกมาเป็น Multi-Stage แทน เพื่อตัดของที่ไม่จำเป็นไป อยากเข้าตอน Build App เราอยากได้แค่ผลลัพธ์ ส่วน Temp / Dependency สำหรับ Build เราไม่ได้ใช้
อันนี้มี Blog ส่วนตัวผมที่เขียนเรื่อง Multi-Stage และการลดขนาดของ Container ลองมาดูได้เลยครับ
7. Container Security
การทำงานของ Docker มันจะให้ Kernel ร่วมกับ Host น่าจะเรียกว่าเป็น Userspace ถ้าคุมสิทธิได้ไม่ดี อาจจะเกิดการแก้ไข Container B จาก A หรือ กระโดดไปใช้สิทธิของ Host
- privilege escalation - ยกระดับสิทธิ
- ป้องกัน ใน Container ให้ใช้ non-root user ในการทำงานแทน Container
- ป้องกัน rootless จากใน Container และยังให้ non-root user start container ที่ host - surface attack - Image ที่อยู่ใน Public Registry อาจจะมีผู้ไม่ประสงค์ดี ยัด malicious software ลงไป เพื่อให้คนเข้าไปใช้งาน
- ป้องกัน distroless image - โดย Google ไม่มี shell ก็ลำบาก มีตัว Runtime / App ถ้าจะ shell ใช้ sidecar มาช่วย
- ป้องกัน UBI image - ของ RedHat Shell ยังมีอยู่นะ แต่ทว่าบางคำสั่งตัดออกไป เช่น พวก yum
4C Container Security ที่ต้องสนใจ
- Code
- Container
- Cluster ตัว Container Runtime / App
- Cloud
Ref: Overview of Cloud Native Security | Kubernetes
8. Container Orchestration Fundamental
ตอนนี้มีเรื่อง Container แต่พอมันมีเยอะๆเข้า เราต้องมามีประเด็นที่ต้องมาติดกันต่อ ดังนี้
- สามารถจัดการ Resource พวก CPU / Memory / Network ที่ Container แต่ละตัวต้องการได้
- กำหนดให้ Container ใช้ประสิทธิภาพได้สูงสุด
- ดูแลให้ตัว Container มีความพร้อมใช้งาน (availability)
- ถ้าตัว Container ตายขึ้นมา ต้องสร้างขึ้นมาทดแทนได้ แต่ต้อง Design ให้ Container เป็น Stateless ด้วย
- ถ้า Load เข้ามาเยอะๆ พร้อม Scale - จัดการ Network ถ้าให้ Manual ทำไม่น่าจะไหว
- จัดการ Storage ของ Container เพราะแยก Stateless แล้วต้องมาเผื่อที่จัดเก็บ
จากประเด็นข้างต้น ตัว Container Orchestration มีตัว
- control plane - management of the containers
- worker nodes - ตัวที่ให้ containers มัน deploy และทำงาน
Container Orchestration ที่ดังๆ K8S / Docker Swarm
9. Networking
- มีมาตรฐานการอย่าง containernetworking/cni: Container Network Interface - networking for Linux containers (github.com) ดังนั้นไม่ว่าจะใช้ Network แบบไหน easy to swap out different plugins
- ปกติ Network ของ Container docker จะ
- None Network - ไม่ต่อกับใครเลย / Host เข้าไม่ได้
- Host Network - ใช้ Network ของ Host เลย
- Bridge Network - มีตัว Bridge Driver มาครอบอีกที ช่วยให้ Container คุยกันเองได้ (intercontainer) ถ้าอยู่เครื่องเดียวกัน
- Overlay Network - Bridge ขนาดใหญ่ ใช้ Docker Engine หลายตัว Overlay network driver | Docker Docs
10. Service Discovery & DNS
เวลา Container จะให้มาคุยกัน ด้วย IP ใครจะไปจำไหว มีหลาย DC / Region ดังนั้นเลยต้องเอา Automation ช่วย
- Service Registry - ลงทะเบียนตอน Container เกิดใหม้ เข้าระบบ
- Service Discovery - มาหาตามที่ลงทะเบียนไว้
แนวคิดที่ช่วยให้ Service Discovery / Service Registry สำเร็จมี 2 วิธี
- DNS
- Key-Value Store พวก etcd/ Consul / Apache Zookeeper / Raft
11. Service Mesh
Service Mesh - เป็น Layer อีกอันนึงที่ช่วยครอบ Container ในรูปแบบของ Side Car Proxy ที่เข้ามาช่วยจัดการการสื่อสารของแต่ละ Container โดยเข้า Filter Traffic / Load Balancing เป็นต้น
และพอใช้ Side Car บาง Pattern อย่าง Timeout / Retry / Circuit Breakers ไม่ต้องมาเขียน Code เพิ่มคุมจาก Proxy ตัว Tools nginx, HAProxy, Envoy, Istio
12. Storage
จำได้ว่า Container เป็น Stateless ได้ใช่ปะ ดังนั้นตัว Container ต้องมี Storage แยกอีก Layer ออกมา เพื่อเก็บข้อมูล มี 2 แบบ
- mount
- volume
สำหรับกิจกรรม Onsite วันนี้สนุกมาก ได้คิดเยอะด้วย ทำให้ปลอดภัย มันง่ายกว่าทำให้เล็กลง 555 นั่งคิดนานมาก สุดท้ายได้ Hint Multi-Stage เลยไปนึกจาก Blog ทำให้ตัว ICONV support TIS-620 ที่ Build เตรียมไว้ แล้วเอามาแปะใส่ (กลับไปยังคาใจเลยไปโมเพิ่มมา 55) และตอนเย็นมีจับกลุ่มเตรียมทำ Senior Project ผมคงต้องไปรื้่อ Skill Coding เหมือนกัน จับ C# Logic มานานน
Reference
- 9 Docker Extensions Every Developer Must Try - DEV Community
- Azure File Storage as a Docker Plugin (jmaitrehenry.ca)
Discover more from naiwaen@DebuggingSoft
Subscribe to get the latest posts sent to your email.
