February 2021
Beginner to intermediate
252 pages
5h 36m
Korean
Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
제
3
장
cgroups와 제어 그룹
56
앞의 제어 그룹 목록에서
user
.
slice
/
user
-
1000
부분이 의아한 독자들도 있을 것이다.
이것은
systemd
가 나름의 자원 제어 접근 방식에 따라 자동으로 제어 그룹 위계구조들을 생성
하는 과정에서 만들어진 것이다. 이에 관해 좀 더 공부하고 싶다면, 레드햇이 제공하는 비교적
읽기 쉬운 설명 (
https
://
oreil
.
ly
/
i4OWd
)을 참고하기 바란다.
3.3
자원 한계 설정
제어 그룹이 사용할 수 있는 최대 메모리 크기는 해당
memory
.
limit
_
in
_
bytes
파일에 들어 있다.
root@vagrant:/sys/fs/cgroup/memory$ cat user.slice/user-1000.slice/session-\
43.scope/sh/memory.limit_in_bytes
9223372036854771712
엄청나게 큰 수인데, 이 예제를 만들면서 필자가 사용한
VM
의 전체 메모리 크기에 해당한다.
기본적으로는 사용 가능한 메모리에 제한이 없기 때문에 이런 수치가 나온 것이다.
주어진 프로세스의 메모리 사용에 제한이 없으면 같은 호스트에 있는 다른 프로세스들을 고
갈시킬 위험이 있다. 응용 프로그램의 메모리 누수 때문에 의도치 않게 그런 일이 생길 수도 있
고, 또는 공격자가 의도적으로 응용 ...