bootc 이미지 빌드 및 관리 가이드
bootc 는 부팅 가능한 컨테이너의 핵심 요소이며, 부팅 가능한 컨테이너를 관리하기 위한 여러 systemd, timer 와 함께 제동 되는 CLI 도구 입니다.
또한 업데이트를 다운로드하고 대기 시키는 역할을 하고 시스템을 관리하고 시스템 상태 검사를 하는데 사용합니다.
bootc 를 이용한 부팅이 가능한 컨테이너를 사용하는 것에 대한 장점
-
DevOps를 위한 통합된 접근 방식
부팅 가능한 컨테이너는 Linux의 역할을 한 단계 더 발전시켜 GitOps 및 CI/CD(Continuous Integration/Continuous Delivery)를 포함한 컨테이너 기반 툴링과 개념을 통해 전체 OS를 관리할 수 있도록 합니다. 이 간소화된 접근 방식은 패치를 다른 위치에 푸시하거나 운영 팀과 애플리케이션 개발 주기 간의 격차를 메우는 경우 대규모로 Linux를 관리하는 과제를 해결하는 데 도움이 됩니다.
-
간소화된 보안
이미지 기반 시스템에는 수십 가지의 보안 이점이 있지만 OS가 컨테이너 이미지 형태로 제공된다는 사실을 강조하고 싶습니다. 즉, 패치, 검사, 검증 및 서명을 처리하기 위해 고급 컨테이너 보안 도구와 같은 컨테이너 보안의 지난 10년 간의 발전을 활용할 수 있습니다. 이제 커널, 드라이버, 부트로더 등에 컨테이너 보안 검사를 적용할 수 있습니다.
-
속도 및 생태계 통합
보안 이점과 마찬가지로 부팅 가능한 컨테이너는 컨테이너를 중심으로 등장한 도구와 기술의 광대한 생태계에 통합됩니다.
부팅 가능한 컨테이너를 사용하면 새로운 규모와 속도로 Linux 시스템을 빌드, 배포 및 관리할 수 있습니다. 부팅 가능한 컨테이너의 초기 채택자로부터 일관된 피드백은 이러한 모든 작업을 더 짧은 시간 내에 관리하기 위한 간소화된 툴체인을 관찰한다는 것입니다.
이번 포스팅에서는 bootc 이미지 빌드부터 관리까지 전체적인 내용을 다뤄보겠습니다.
bootc 이미지 빌드 및 관리
1. 기본 이미지 빌드
Containerfile을 이용하여 bootc 이미지를 빌드합니다.
# podman build -t bootc .
STEP 1/7: FROM quay.io/centos-bootc/centos-bootc:stream9
STEP 2/7: RUN dnf -y install httpd cloud-init plymouth vim && \
systemctl enable httpd && \
systemctl enable cloud-init.service && \
mv /var/www /usr/share/www && \
echo 'd /var/log/httpd 0700 - - -' > /usr/lib/tmpfiles.d/httpd-log.conf && \
sed -ie 's,/var/www,/usr/share/www,' /etc/httpd/conf/httpd.conf
STEP 3/7: RUN mkdir -p /usr/lib/bootc/kargs.d
--> 4f70d792d20d
STEP 4/7: RUN cat <<EOF >> /usr/lib/bootc/kargs.d/kcmdline.toml (kargs = ["console=ttyS0,114800n8","selinux=0"]...)
--> a7e112a51f79
STEP 5/7: RUN rm /usr/share/httpd/noindex -rf
--> 83c9cccb104d
STEP 6/7: COPY index.html /usr/share/www/html
--> 91dc066387f9
STEP 7/7: EXPOSE 80
COMMIT bootc
--> db1bdf3e68dd
Successfully tagged localhost/bootc:latest
db1bdf3e68dda4ab9365ad5571236d52c961447fc0cdb008f7090cc721d05158
2. 이미지 태깅 및 푸시
여러 버전의 이미지를 태깅하고 레지스트리에 푸시합니다.
테스트의 편의를 위해 ECR 을 사용하였으나, 사설 레포지토리 및 기타 솔루션을 사용 할 수 있습니다.
# podman tag bootc:latest public.ecr.aws/w4****s3/bootc:latest
# podman push public.ecr.aws/w4****s3/bootc:latest
Getting image source signatures
Copying blob 54cc565ad42f skipped: already exists
Copying blob 54cc565ad42f skipped: already exists
...
# podman tag bootc:latest public.ecr.aws/w4****s3/bootc:v1
# podman push public.ecr.aws/w4****s3/bootc:v1
# podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
public.ecr.aws/w4****s3/bootc v1 db1bdf3e68dd 3 minutes ago 1.86 GB
public.ecr.aws/w4****s3/bootc latest db1bdf3e68dd 3 minutes ago 1.86 GB
localhost/bootc latest db1bdf3e68dd 3 minutes ago 1.86 GB
quay.io/centos-bootc/centos-bootc stream9 f9e21da0d9d0 2 weeks ago 1.57 GB
quay.io/centos-bootc/bootc-image-builder latest bfc3eaae8414 5 weeks ago 774 MB
3. 컨테이너로 실행 테스트
빌드된 이미지를 컨테이너로 실행하여 웹 서버 동작을 테스트합니다.
# podman run --rm -d --name test-web -p 80:80 public.ecr.aws/w4****s3/bootc:latest
b309f135c7d0d950dd86e2e263602770cada47c616911dc04b828afdc6f71886
# curl localhost:80
TEST INDEX v1
AMI 생성 프로세스
1. AMI 생성을 위한 설정
config.toml 설정 파일:
# cat config.toml
[[customizations.user]]
name = "centos"
password = "password"
key = "ssh-rsa AAAAB3Nz..."
groups = ["wheel"]
[[customizations.disk.partitions]]
mountpoint = "/"
minsize = "7 GiB"
label = "root"
fs_type = "xfs"
2. AMI 생성 스크립트
bootc-image-builder 를 이용하여 빌드한 컨테이너 이미지를 AMI 로 생성합니다.
bootc-image-builder 는 퍼블릭 클라우드 뿐만 아니라 다양한 환경에 적합한 이미지를 생성하고 변환하는 역할을 합니다.
create-ami.sh:
sudo podman run \
--rm \
-it \
--privileged \
--security-opt label=type:unconfined_t \
-v $HOME/.aws:/root/.aws:ro \
-v ./config.toml:/config.toml:ro \
-v /var/lib/containers/storage:/var/lib/containers/storage \
--env AWS_PROFILE=default \
quay.io/centos-bootc/bootc-image-builder:latest \
--type ami \
--aws-ami-name http-bootc-ami \
--aws-bucket s3test \
--aws-region ap-northeast-2 \
public.ecr.aws/w4****s3/bootc:latest
3. AMI 생성 실행 결과
# ./create-ami.sh
[/] Image building step
[4 / 4] Pipeline image [------------------------------------------------------------------------------------------------------------>] 100.00%
[10 / 10] Stage org.osbuild.selinux [----------------------------------------------------------------------------------------------->] 100.00%
Message: Build complete!
Uploading http-bootc-ami to s3test:dda70dae-aafb-4b31-9ddb-fcd2dfadec0a-http-bootc-ami
7.20 GiB / 7.20 GiB [------------------------------------------------------------------------------------------------>] 100.00% 201.82 MiB p/s
File uploaded to https://s3test.s3.ap-northeast-2.amazonaws.com/dda70dae-aafb-4b31-9ddb-fcd2dfadec0a-http-bootc-ami
Registering AMI http-bootc-ami
7.20 GiB / 7.20 GiB [------------------------------------------------------------------------------------------------------->] 100.00% 0 B p/s
7.20 GiB / 7.20 GiB [------------------------------------------------------------------------------------------------------->] 100.00% 0 B p/s
Deleted S3 object s3test:dda70dae-aafb-4b31-9ddb-fcd2dfadec0a-http-bootc-ami
AMI registered: ami-0526*************
Snapshot ID: snap-0ce7*************
7.20 GiB / 7.20 GiB [--------------------------------------------------------------------------------------------------] 100.00% 26.24 MiB p/s
4. 생성된 AMI 로 생성된 인스턴스의 파일시스템 확인
[root@ip-*********** ~]# df -h
Filesystem Size Used Avail Use% Mounted on
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 1.9G 0 1.9G 0% /dev/shm
tmpfs 759M 516K 758M 1% /run
efivarfs 128K 3.4K 120K 3% /sys/firmware/efi/efivars
/dev/nvme0n1p3 7.8G 1.9G 5.9G 24% /sysroot
composefs 7.2M 7.2M 0 100% /
...
[root@ip-*********** ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 7.2M 1 loop
zram0 252:0 0 3.7G 0 disk [SWAP]
nvme0n1 259:0 0 8G 0 disk
├─nvme0n1p1 259:1 0 1M 0 part
├─nvme0n1p2 259:2 0 200M 0 part /boot/efi
└─nvme0n1p3 259:3 0 7.8G 0 part /var
/sysroot/ostree/deploy/default/var
/etc
/boot
/sysroot
위와 같이 composefs 를 이용한 특수한 구성을 이용하는 운영체제로 시작됩니다.
bootc 운영 관리
1. bootc 기본 명령어
# bootc --help
Deploy and transactionally in-place with bootable container images.
Commands:
upgrade Download and queue an updated container image to apply
switch Target a new container image reference to boot
rollback Change the bootloader entry ordering
edit Apply full changes to the host specification
status Display status
usr-overlay Adds a transient writable overlayfs on `/usr`
install Install the running container to a target
container Operations which can be executed as part of a container build
2. 시스템 상태 확인 및 업그레이드
- bootc 를 통한 이미지 관리 체계
상태 확인:
# bootc status
No staged image present
Current booted image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 05:03:12.502233712 UTC)
Image digest: sha256:326be670c2b10bdb187fbbcb9b28fbcde66c9cbe1d32915478089af9478d373e
No rollback image present
업그레이드 실행:
레포지토리에 있는 최신 버전의 이미지를 Pull 하고, 부팅을 위해 staged image 로 준비합니다.
# bootc upgrade
layers already present: 0; layers needed: 72 (1.1 GB)
Fetched layers: 1.01 GiB in 87 seconds (11.86 MiB/s)
Deploying: done (4 seconds) Queued for next boot: public.ecr.aws/w4****s3/bootc:latest
Version: stream9.20250129.0
Digest: sha256:01fe8dea52017556f85932f5debb142cd48bc5d9162a23030239ebf64f7b2b1e
Total new layers: 72 Size: 1.1 GB
Removed layers: 72 Size: 1.9 GB
Added layers: 72 Size: 1.1 GB
# bootc status
Current staged image: public.ecr.aws/w4****s3/bootc:latest <<----!!!
Image version: stream9.20250129.0 (2025-02-17 06:52:27.362887944 UTC)
Image digest: sha256:01fe8dea52017556f85932f5debb142cd48bc5d9162a23030239ebf64f7b2b1e
Current booted image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 05:03:12.502233712 UTC)
Image digest: sha256:326be670c2b10bdb187fbbcb9b28fbcde66c9cbe1d32915478089af9478d373e
No rollback image present
재부팅 후 :
# bootc status
No staged image present
Current booted image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 06:52:27.362887944 UTC)
Image digest: sha256:01fe8dea52017556f85932f5debb142cd48bc5d9162a23030239ebf64f7b2b1e
Current rollback image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 05:03:12.502233712 UTC)
Image digest: sha256:326be670c2b10bdb187fbbcb9b28fbcde66c9cbe1d32915478089af9478d373e
# curl localhost
TEST INDEX v2
3. 이미지 롤백 및 전환
롤백 실행:
# bootc rollback
Next boot: rollback deployment
# reboot
재부팅 후:
# bootc status
No staged image present
Current booted image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 05:03:12.502233712 UTC)
Image digest: sha256:326be670c2b10bdb187fbbcb9b28fbcde66c9cbe1d32915478089af9478d373e
Current rollback image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 06:52:27.362887944 UTC)
Image digest: sha256:01fe8dea52017556f85932f5debb142cd48bc5d9162a23030239ebf64f7b2b1e
# curl localhost
TEST INDEX v1
특정 이미지로 전환:
# bootc switch public.ecr.aws/w4****s3/bootc:v3
layers already present: 71; layers needed: 1 (230 bytes)
Fetched layers: 230 B in 21 seconds (10 B/s)
Deploying: done (4 seconds) Queued for next boot: public.ecr.aws/w4****s3/bootc:v3
Version: stream9.20250129.0
Digest: sha256:eeb8035601e584bf5cb21f5906a9c5eda097c0891e52d427017b5253cb4d0191
# bootc status
Current staged image: public.ecr.aws/w4****s3/bootc:v3
Image version: stream9.20250129.0 (2025-02-17 07:00:14.550632920 UTC)
Image digest: sha256:eeb8035601e584bf5cb21f5906a9c5eda097c0891e52d427017b5253cb4d0191
Current booted image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 05:03:12.502233712 UTC)
Image digest: sha256:326be670c2b10bdb187fbbcb9b28fbcde66c9cbe1d32915478089af9478d373e
Current rollback image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 06:52:27.362887944 UTC)
Image digest: sha256:01fe8dea52017556f85932f5debb142cd48bc5d9162a23030239ebf64f7b2b1e
>> 재부팅 진행
# bootc status
No staged image present
Current booted image: public.ecr.aws/w4****s3/bootc:v3
Image version: stream9.20250129.0 (2025-02-17 07:00:14.550632920 UTC)
Image digest: sha256:eeb8035601e584bf5cb21f5906a9c5eda097c0891e52d427017b5253cb4d0191
Current rollback image: public.ecr.aws/w4****s3/bootc:latest
Image version: stream9.20250129.0 (2025-02-17 05:03:12.502233712 UTC)
Image digest: sha256:326be670c2b10bdb187fbbcb9b28fbcde66c9cbe1d32915478089af9478d373e
# curl localhost
TEST INDEX v3
파일시스템 관리
1. 영구 저장소 사용
/var 디렉토리는 재부팅 후에도 유지되는 영구 저장소입니다:
[root@ip-172-31-1-74 ~]# mkdir /var/data
[root@ip-172-31-1-74 ~]# dd if=/dev/zero of=/var/data/bigfile count=1 bs=1G
1+0 records in
1+0 records out
1073741824 bytes (1.1 GB, 1.0 GiB) copied, 4.29051 s, 250 MB/s
[root@ip-172-31-1-74 ~]# ls -l /var/data/
total 1048576
-rw-r--r-- 1 root root 1073741824 Feb 17 07:11 bigfile
[root@ip-172-31-1-74 ~]# reboot
[root@ip-172-31-1-74 ~]# uptime
07:13:15 up 0 min, 1 user, load average: 0.07, 0.02, 0.00
재부팅 후에도 데이터 유지:
[root@ip-172-31-1-74 ~]# ls -l /var/data
total 1048576
-rw-r--r-- 1 root root 1073741824 Feb 17 07:11 bigfile
2. /usr 임시 작업
bootc usr-overlay를 사용한 임시 쓰기 작업:
# echo "Enabled USR" > /usr/share/www/html/index.html
-bash: /usr/share/www/html/index.html: Read-only file system
# bootc usr-overlay
Development mode enabled.
# echo "Enabled USR" > /usr/share/www/html/index.html
# curl localhost
Enabled USR
재부팅 후 원래 상태로 복구:
# uptime
07:16:11 up 1 min, 1 user, load average: 0.03, 0.01, 0.00
# curl localhost
TEST INDEX v3
자동 업데이트 관리
1. 업데이트 타이머 설정
타이머 상태 확인:
# systemctl status bootc-fetch-apply-updates.timer
● bootc-fetch-apply-updates.timer - Apply bootc updates
Loaded: loaded (/usr/lib/systemd/system/bootc-fetch-apply-updates.timer; disabled; preset: disabled)
Active: active (waiting) since Wed 2025-02-26 12:04:05 UTC; 1min 21s ago
Until: Wed 2025-02-26 12:04:05 UTC; 1min 21s ago
Trigger: Wed 2025-02-26 14:21:43 UTC; 2h 16min left
Triggers: ● bootc-fetch-apply-updates.service
Docs: man:bootc(8)
Feb 26 12:04:05 localhost systemd[1]: Started Apply bootc updates.
2. 업데이트 시간 설정
주간 업데이트 설정:
# systemctl edit bootc-fetch-apply-updates.timer
[Timer]
OnCalendar=Sun *-*-* 00:00:00
Timer 구문은 아래와 같은 방법으로 구문 확인 가능합니다.
# systemd-analyze calendar --iterations 5 "Sun *-*-* 00:00:00"
Normalized form: Sun *-*-* 00:00:00
Next elapse: Sun 2025-03-02 00:00:00 UTC
From now: 2 days left
Iter. #2: Sun 2025-03-09 00:00:00 UTC
From now: 1 week 2 days left
Iter. #3: Sun 2025-03-16 00:00:00 UTC
From now: 2 weeks 2 days left
Iter. #4: Sun 2025-03-23 00:00:00 UTC
From now: 3 weeks 2 days left
Iter. #5: Sun 2025-03-30 00:00:00 UTC
From now: 1 month 0 days left
3. 자동 업데이트
bootc-fetch-apply-updates 의 기본 서비스 구성:
# cat /usr/lib/systemd/system/bootc-fetch-apply-updates.service
[Unit]
Description=Apply bootc updates
Documentation=man:bootc(8)
ConditionPathExists=/run/ostree-booted
[Service]
Type=oneshot
ExecStart=/usr/bin/bootc update --apply --quiet <<---!! 자동 재부팅 설정 되어 있음.
# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Thu 2025-02-27 14:30:38 UTC 8h left Wed 2025-02-26 14:30:38 UTC 15h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service
Fri 2025-02-28 00:00:00 UTC 17h left Thu 2025-02-27 00:00:02 UTC 6h ago logrotate.timer logrotate.service
Sun 2025-03-02 00:00:00 UTC 2 days left Thu 2025-02-27 06:09:29 UTC 1min 23s ago bootc-fetch-apply-updates.timer bootc-fetch-apply-updates.service
3 timers listed.
Pass --all to see loaded but inactive timers, too.
-
참고: journalctl 을 이용한 업데이트 로그 확인
Feb 27 01:22:27 hostname bootc[1699]: Fetching ostree-unverified-registry:public.ecr.aws/w4****s3/bootc:latest Feb 27 01:22:28 hostname bootc[1699]: No changes in public.ecr.aws/w4****s3/bootc:latest Feb 27 01:22:28 hostname bootc[1699]: No update available.
4. 자동 업데이트 비활성화
# systemctl mask bootc-fetch-apply-updates.timer
Created symlink /etc/systemd/system/bootc-fetch-apply-updates.timer → /dev/null