PID, mount, network 같은 이름 공간을 분리해 프로세스가 자기만의 시스템처럼 보게 합니다.
컨테이너 커널 격리
이미지 레이어, namespace, cgroup, seccomp, capability, AppArmor를 함께 봐야 컨테이너의 빠른 시작 원인과 격리 한계를 구분합니다.
01Image layer
02namespace
03cgroup
04seccomp
05runtime
CPU, 메모리, PID 개수 같은 자원 한도를 정해 한 컨테이너가 호스트 전체를 압박하지 않게 합니다.
읽기 전용 레이어와 쓰기 가능한 컨테이너 레이어를 겹쳐 배포와 캐시 효율을 얻습니다.
커널을 공유하므로 non-root, capability drop, seccomp, MAC 프로파일로 위험한 경로를 더 줄입니다.