Linux Namespace1 🐳 도커는 진짜로 무엇을 격리하는가? — 커널 기능으로 보는 컨테이너의 속살 컨테이너는 가상머신이 아니다. 그런데도 격리된 것처럼 느껴진다. 왜일까? 🎯 이 글에서 다루는 것도커(컨테이너)가 격리를 구현하는 리눅스 커널 메커니즘 2가지Namespace — 무엇이 보이는지를 격리cgroups — 얼마나 쓸 수 있는지를 제한격리되지 않는 것들 — 보안 설계 시 반드시 알아야 할 함정가상머신(VM)과 컨테이너의 격리 수준 비교📌 도입 / 배경도커를 처음 배울 때 가장 많이 듣는 말이 있습니다.컨테이너는 격리된 환경이에요.맞습니다. 그런데 어디까지 격리되는 걸까요?실제로 많은 개발자와 운영자들이 컨테이너를 VM처럼 완전히 독립된 환경으로 오해합니다. 그 결과 컨테이너 탈출(Container Escape) 취약점에 무방비 상태가 되거나, 한 컨테이너가 호스트 전체 CPU를 독식하는 .. 2026. 3. 30. 이전 1 다음
