컨테이너는 namespace와 cgroup으로 격리와 제한을 만든다
컨테이너는 VM처럼 OS를 새로 띄우지 않고 커널 기능을 조합해 별도 실행 세계를 제공한다.
Namespace
PID/mount/net
보이는 세계 분리
cgroup
CPU/mem/I/O
사용량 제한
Runtime
image/rootfs
프로세스 시작
Host kernel
공유 커널
격리 한계
축
제공 기능
주의
namespace
이름 공간 분리
커널은 공유
cgroup
자원 한도
설정 누락
rootfs
파일 시스템 뷰
이미지 관리