namespace와 cgroups 역할
컨테이너 런타임은 두 기능을 함께 적용해 프로세스 격리와 자원 통제를 하나의 실행 환경으로 묶는다.
PID, NET, MNT프로세스 번호, 네트워크 스택, 파일 시스템 마운트의 독립된 뷰를
제공한다.컨테이너 안의 프로세스는 자신의 루트 파일 시스템과 포트만
기준으로 동작한다.
USER컨테이너 내부의 root를 호스트의 낮은 권한 사용자로 매핑할 수
있다.권한 상승이 호스트 root 권한으로 이어지는 위험을 줄인다.
memory, cpu, pids메모리 최대치, CPU 시간, 프로세스 개수 제한을 커널이
강제한다.한 컨테이너의 폭주가 같은 호스트의 다른 서비스로 번지는 것을
막는다.
격리 확인호스트와 컨테이너의 PID, 네트워크 인터페이스, 마운트 목록이
다른지 본다.
제한 확인런타임 설정과 cgroup 파일의 실제 값이 일치하는지 확인한다.
보안 점검rootless, seccomp, MAC 정책으로 커널 공유의 위험을 추가로
낮춘다.