도커 컨테이너는 내부적으로 커널의 어떤 기능을 활용하여 가상화를 구현할까?

[skarltjr]

도커 컨테이너는 내부적으로 커널의 어떤 기능을 활용하여 가상화를 구현할까?

[skarltjr]

네임스페이스

• 네임스페이스란?

  
  리눅스 네임스페이스는 프로세스를 실행할 때 시스템의 리소스를 분리해서 실행할 수 있도록 도와주는 기능
  하나의 네임스페이스는 분리된 자신만의 리소스를 갖고 네임스페이스 내부에서는 이를 공유한다.

네임스페이스 덕분에 도커 컨테이너는 자신만의 네트워크, 프로세스, 파일 시스템을 갖고 이게 결국 "독립적인" 컨테이너 자신만의 환경을 갖도록 해준다. 정말 핵심인거같다.

[skarltjr]

Cgroup

• control groups
• 자신만의 리소스를 갖는다는것은 위험할 수 있다.
• 너무 많은 리소스를 독점해버리는 경우가 생길 수 있고 그렇기에 조절이 필요하다.
• 이 역할을 하는것이 cgroup이다.
• 프로세스들의 자원 사용을 제한하고 격리시키는 리눅스 커널 모듈
• 하나 또는 복수의 장치를 묶어서 하나의 그룹을 만들 수 있으며 개별 그룹은 시스템에서 설정한 값만큼 하드웨어를 사용할 수 있다.

  도커 컨테이너는 cgroup을 사용하여 CPU, 메모리 및 네트워크 대역폭과 같은 컨테이너가 사용할 수 있는 리소스를 제한하고 관리한다. 
  이렇게 하면 한 컨테이너가 다른 컨테이너 또는 호스트 시스템의 성능을 방해하지 않는다.

[skarltjr]

seccomp

• 아무래도 호스트 os를 공유하는만큼 도커 컨테이너는 보안에 집중할 필요가 있다.

  도커 컨테이너는 seccomp(보안 컴퓨팅 모드)를 사용하여 컨테이너가 수행하는 시스템 호출에 대한 보안 정책을 정의하고 적용. 
  이렇게 하면 악의적인 컨테이너가 호스트 시스템 또는 다른 컨테이너를 손상시키지 않도록 방지할 수 있다.