컨테이너 관리 도구의 전체 지도

작성자:


컨테이너의 개념과 런타임을 이해했다면, 이제 한 단계 위로 올라갈 차례입니다. 실제 현장에서 컨테이너를 다루는 일은 단순히 “컨테이너 하나를 띄우는 것”이 아니라 수십, 수백 개의 컨테이너를 빌드하고, 배포하고, 운영하고, 모니터링하는 일입니다. 이 과정을 도와주는 도구들이 거대한 생태계를 이루고 있습니다.

처음 이 생태계를 마주하면 압도되기 쉽습니다. Docker, Kubernetes, Helm, ArgoCD, Prometheus, Istio, Harbor, Trivy… 이름만 들어도 머리가 아픕니다. 하지만 이 도구들은 무작위로 흩어져 있는 게 아니라 각자의 자리가 있습니다. 이번 편에서는 그 자리들을 큰 지도로 그려보겠습니다. 도구 하나하나를 깊게 파기보다, 누가 어디에 쓰이는지를 한눈에 보는 것이 목표입니다.

도구를 보는 세 가지 축

컨테이너 관리 도구는 크게 세 그룹으로 나눌 수 있습니다.

  1. 단일 호스트 관리 도구 — 한 대의 머신에서 컨테이너를 다룸
  2. 오케스트레이션 도구 — 여러 머신에 걸쳐 컨테이너를 자동 관리
  3. 보조 관리 도구 — 모니터링·보안·CI/CD·레지스트리 등 운영을 떠받치는 도구들

각 그룹은 서로를 대체하는 관계가 아니라 층층이 쌓이는 관계입니다. 단일 호스트 도구로 컨테이너를 띄우고, 오케스트레이터가 여러 머신을 묶고, 보조 도구들이 그 위에 모니터링과 보안 등을 얹는 식입니다.

1. 단일 호스트 관리 도구

가장 기본이 되는 층입니다. 한 대의 머신(노트북·서버·VM)에서 컨테이너를 만들고 실행하는 도구들입니다. 개발 환경, 소규모 운영, 학습용으로 가장 많이 쓰입니다.

Docker / Docker Desktop

가장 대중적인 도구입니다. CLI와 GUI를 모두 제공하며, docker run·docker ps·docker build 같은 명령으로 컨테이너의 전 생애주기를 관리합니다. Docker Desktop은 Windows·macOS에서 컨테이너를 시각적으로 다룰 수 있게 해줍니다.

컨테이너 대중화의 일등공신이지만, 2021년부터 일정 규모 이상의 기업은 유료 라이선스가 필요해졌습니다. 이 변화가 다른 도구들이 부상하는 계기가 되었습니다.

Podman

Red Hat이 주도하는 도구로, 데몬리스(daemonless)·루트리스(rootless) 라는 차별점이 있습니다. 백그라운드 데몬 없이 동작하고, 일반 사용자 권한으로 실행 가능해 보안적으로 우수합니다. Docker CLI와 거의 동일한 명령어 체계를 가져 마이그레이션이 쉽습니다.

Colima / Rancher Desktop / OrbStack

Docker Desktop의 대안으로 부상한 도구들입니다. Colima는 CLI 중심의 가벼운 도구, Rancher Desktop은 Kubernetes(K3s)가 내장된 오픈소스 GUI 도구, OrbStack은 macOS 전용으로 Apple Silicon에 최적화된 빠른 도구입니다. 자세한 비교는 다음 편에서 다룹니다.

Docker Compose

조금 다른 결의 도구입니다. 여러 컨테이너로 구성된 애플리케이션을 docker-compose.yml 파일 하나로 정의하고 실행합니다. 예를 들어 “웹 서버 + 데이터베이스 + 캐시”를 한 번에 띄울 때 쓰며, 개발 환경 구성의 표준처럼 자리잡았습니다. 단일 호스트에서 여러 컨테이너를 협력시키는 가장 간단한 방법입니다.

Portainer / Lazydocker

GUI/TUI 기반의 관리 도구입니다. Portainer는 웹 UI로 Docker와 Kubernetes를 모두 관리할 수 있어 중소 규모 운영에 인기가 많고, Lazydocker는 터미널에서 컨테이너 상태를 시각적으로 보여주는 가벼운 도구입니다.

2. 오케스트레이션 도구

단일 호스트로는 한계가 있습니다. 트래픽이 늘어나면 여러 머신으로 분산해야 하고, 한 머신이 죽어도 서비스가 살아야 하며, 배포는 자동화되어야 합니다. 이 문제를 푸는 것이 오케스트레이션입니다.

오케스트레이터는 다음을 자동으로 처리합니다.

  • 컨테이너를 어느 머신에 배치할지 결정 (스케줄링)
  • 죽은 컨테이너 자동 재시작 (self-healing)
  • 트래픽에 따라 컨테이너 수 조절 (오토 스케일링)
  • 무중단 배포 (롤링 업데이트)
  • 서비스 간 통신 경로 관리 (서비스 디스커버리)

Kubernetes (K8s) — 사실상 표준

Google의 내부 시스템 Borg를 기반으로 만들어져 오픈소스로 공개되었고, 지금은 CNCF가 관리합니다. 클라우드 네이티브 오케스트레이션의 사실상 표준입니다. 강력하지만 그만큼 학습 곡선이 가파른 것이 단점입니다.

직접 운영하는 부담을 덜기 위해 클라우드 제공업체들은 관리형 Kubernetes를 제공합니다.

  • AWS EKS (Elastic Kubernetes Service)
  • Google GKE (Google Kubernetes Engine)
  • Azure AKS (Azure Kubernetes Service)
  • NCP Kubernetes Service (네이버 클라우드)

경량 Kubernetes

풀 Kubernetes는 무겁기 때문에 가벼운 배포판들도 널리 쓰입니다.

  • K3s: Rancher가 만든 경량 K8s, 엣지·IoT·소규모 운영에 적합
  • MicroK8s: Canonical이 만든 가벼운 배포판
  • Minikube / Kind: 로컬 개발·학습용

Kubernetes 외의 선택지

  • Docker Swarm: Docker에 내장된 오케스트레이터. 설정이 간단하지만 생태계가 제한적
  • Nomad: HashiCorp가 만든 워크로드 오케스트레이터. 컨테이너뿐 아니라 일반 바이너리·VM도 함께 관리

3. 보조 관리 도구

오케스트레이터만으로는 운영이 완성되지 않습니다. 이미지를 어디에 보관할지, 컨테이너 상태를 어떻게 볼지, 배포는 어떻게 자동화할지, 보안은 어떻게 챙길지 — 이 모든 영역에 전용 도구들이 있습니다.

이미지 레지스트리

컨테이너 이미지를 저장하고 배포하는 저장소입니다.

  • Docker Hub: 공개 이미지의 표준 저장소
  • Harbor: 자체 호스팅 가능한 오픈소스 레지스트리. 보안 스캔 내장
  • AWS ECR / GitHub Container Registry / GitLab Container Registry: 클라우드/플랫폼 통합 레지스트리

사내 레지스트리를 운영해야 한다면 Harbor가 가장 많이 선택됩니다.

모니터링 및 로깅

운영의 눈과 귀입니다.

  • Prometheus + Grafana: 메트릭 수집과 시각화의 표준 조합
  • Loki: Grafana Labs의 로그 수집기, Prometheus와 잘 어울림
  • ELK 스택 (Elasticsearch + Logstash + Kibana): 전통적인 로그 수집·검색 솔루션
  • Fluentd / Fluent Bit: 로그 수집·전달 도구
  • Jaeger / Tempo: 분산 추적(distributed tracing)

보안 도구

이미지 빌드부터 런타임까지, 각 단계에 전용 보안 도구가 있습니다.

  • Trivy / Grype: 이미지 취약점 스캔
  • Falco: 런타임 이상 행동 탐지
  • OPA (Open Policy Agent): 정책을 코드로 관리
  • kube-bench / kube-hunter: Kubernetes 보안 점검

CI/CD 통합

컨테이너 빌드와 배포를 자동화하는 영역입니다.

  • Jenkins / GitLab CI / GitHub Actions: 일반적인 CI/CD 파이프라인
  • ArgoCD / Flux: GitOps 방식의 Kubernetes 배포 도구

ArgoCD와 Flux는 “Git 저장소의 상태가 곧 클러스터의 상태”라는 GitOps 철학을 구현한 도구로, 최근 Kubernetes 배포의 표준으로 자리잡았습니다.

서비스 메시 (Service Mesh)

마이크로서비스 규모가 커지면, 컨테이너 간 통신을 별도 계층에서 다뤄야 할 필요가 생깁니다.

  • Istio: 가장 기능이 풍부한 서비스 메시
  • Linkerd: 가볍고 단순한 대안
  • Cilium: eBPF 기반의 차세대 네트워킹·보안

서비스 메시는 통신 암호화, 트래픽 라우팅, 관측성, 인증·인가 등을 애플리케이션 코드를 건드리지 않고 인프라 레벨에서 처리합니다.

전체 지도 한눈에 보기

[ 보조 도구 계층 ]
  레지스트리 · 모니터링 · 보안 · CI/CD · 서비스 메시
              ↑
[ 오케스트레이션 계층 ]
  Kubernetes (EKS/GKE/AKS) · K3s · Swarm · Nomad
              ↑
[ 단일 호스트 계층 ]
  Docker · Podman · Colima · Rancher Desktop · OrbStack · Compose
              ↑
[ 컨테이너 런타임 ]
  containerd · CRI-O · Docker Engine + runc
              ↑
[ 리눅스 커널 ]
  Namespaces · Cgroups

어떤 도구를 골라야 할까

규모와 목적에 따라 적절한 조합이 달라집니다.

개인 학습·개발 환경이라면 단일 호스트 도구만으로 충분합니다. Docker Desktop, Podman, Colima 중 하나에 Docker Compose를 더하면 거의 모든 시나리오를 커버할 수 있습니다.

중소 규모 운영이라면 단일 호스트 도구에 Portainer 정도의 GUI를 더하거나, 가벼운 K3s·Docker Swarm으로 옮겨가는 것이 합리적입니다.

대규모 프로덕션 운영이라면 관리형 Kubernetes(EKS/GKE/AKS)를 중심에 두고, Prometheus + Grafana(모니터링), ArgoCD(배포), Harbor(레지스트리), Trivy(보안), Istio(서비스 메시) 같은 보조 도구들을 조합하는 것이 일반적인 스택입니다.

정리

이번 편에서 다룬 내용을 한 줄씩 정리하면 다음과 같습니다.

  • 컨테이너 관리 도구는 단일 호스트 / 오케스트레이션 / 보조 도구의 세 층으로 나뉜다
  • 단일 호스트 도구는 한 대의 머신에서 컨테이너를 다루며, Docker·Podman·Colima·Rancher Desktop·OrbStack 등이 있다
  • 오케스트레이션은 여러 머신을 묶어 자동화하며, Kubernetes가 사실상 표준이다
  • 보조 도구는 레지스트리·모니터링·보안·CI/CD·서비스 메시 등 운영을 떠받친다
  • 도구는 서로를 대체하는 게 아니라 층층이 쌓이는 관계

다음 편에서는 이 지도의 가장 아래 칸 — 단일 호스트 도구 다섯 가지(Docker Desktop, Colima, Rancher Desktop, Podman, OrbStack) — 를 본격적으로 비교합니다. 매일 마주하는 선택의 문제이니만큼, 시나리오별 추천까지 곁들여 다뤄보겠습니다.



댓글 남기기