Dockerfile 최적화 및 Runtime Hardening을 통한 이미지 10배 경량화 및 보안 강화

Context

기초적인 Docker 사용법만으로는 빌드 캐시 효율 저하, 컨테이너 휘발성 데이터 손실, 서비스 간 의존성 문제 등 프로덕션 환경의 제약 사항을 해결하기 어려움. 특히 기본 Base Image 사용으로 인한 이미지 크기 비대화와 Root 권한 실행에 따른 보안 취약점이 주요 병목 지점으로 작용함.

Technical Solution

• Dependency 설치 단계와 Source Code 복사 단계를 분리하여 Layer Caching 효율을 극대화한 빌드 파이프라인 설계
• ubuntu:latest 대신 python:3.12-slim 및 alpine 기반의 경량 Base Image를 채택하여 불필요한 패키지 제거 및 이미지 크기 최소화
• Named Volume을 활용한 Storage Lifecycle 분리를 통해 컨테이너 재생성 시에도 데이터 영속성을 보장하는 구조 구현
• docker-compose의 healthcheck와 condition: service_healthy 설정을 통한 서비스 간 실행 순서 및 가용성 제어
• non-root 사용자 지정 및 --read-only 파일시스템 적용을 통해 런타임 시 OS 레벨의 공격 표면 최소화
• Trivy 스캐닝을 CI/CD 파이프라인에 통합하여 CVE 취약점이 포함된 이미지를 사전 차단하는 보안 검증 프로세스 구축