Linux2 User Namespace / Container 기초, 격리, 네임스페이스, 컨테이너, 간단정리, capabilities, 권한 User Namespace user ID와 group ID를 구분하여, container가 특정 user ID, group ID만 볼 수 있도록 구성 호스트에서는 권한이 없는 일반 유저를 container안에서는 root로 보여지도록 해주는 것 즉, 앞선 PID namespace와 같이 중첩된 권한을 갖게 된다는 뜻 보안적으로 host에 영향을 끼치지 않도록 도와줌 root@ubuntu1804:~# unshare -U nobody@ubuntu1804:~$ id -u 65534 nobody@ubuntu1804:~$ id -g 65534 nobody@ubuntu1804:~$ exit logout root@ubuntu1804:~# id -u 0 root@ubuntu1804:~# id -g 0 unshare -.. 2023. 1. 14. cgroups / 컨테이너 기초, 프로세스 제어, 자원 제한 Container는 보통 리눅스의 프로세스로 실행이 된다. 한 프로세스가 다른 프로세스들에게 영향을 끼치면 안되기 때문에 cgroup을 통해서 제한을 할 수 있다. cgroup 제어그룹, 구조 리눅스 커널은 보통 /sys/fs/cgroup에서 위계구조를 갖고 있음 /sys/fs/cgroup$ ls blkio cpu,cpuacct freezer memory... memory쪽을 자세히 보면 /sys/fs/cgroup$ ls memory/ cgroup.clone_children memory.memsw.limit_in_bytes cgroup.event_control memory.memsw.max_usage_in_bytes cgroup.procs memory.memsw.usage_in_bytes cgroup.s.. 2023. 1. 3. 이전 1 다음 반응형
