OS · CONTAINER
컨테이너를 만드는 두 축
컨테이너는 별도 커널을 띄우는 것이 아니라 namespace로 보이는 세계를 나누고 cgroups로 자원 사용량을 제한해 격리된 실행 환경을 만듭니다.
구성 축
container
namespaces
PID, mount, network 등 뷰 격리
cgroups
CPU, memory, I/O 사용량 제한
runtime
이미지와 rootfs를 묶어 프로세스 실행
host kernel
커널은 호스트와 공유
namespaces
→
cgroups
→
runtime
→
host kernel
검토 기준
check
격리 범위
PID, 네트워크, 파일시스템 namespace를 구분합니다.
자원 제한
memory limit, CPU quota 같은 cgroup 값을 확인합니다.
보안 한계
커널 공유 때문에 VM보다 격리 경계가 얇습니다.
강화
seccomp, AppArmor, rootless 실행으로 위험을 줄입니다.