February 2021
Beginner to intermediate
252 pages
5h 36m
Korean
Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
8.5 카타 컨테이너
157
이번 장의 나머지 부분에서는 컨테이너화된 응용 프로그램의 실행에
VM
방식의 격리를 적
용하는 접근 방식들을 논의한다.
8.5
카타 컨테이너
제
4
장에서 보았듯이, 보통의 컨테이너를 실행할 때 컨테이너 런타임은 호스트에 새 프로세스
를 만든다. 반면 카타 컨테이너
Kata
Container
(
https
://
katacontainers
.
io
)는 개별적인
VM
안에서
컨테이너를 실행한다. 그러면 통상적인
OCI
형식을 따르는 컨테이너 이미지를 그대로 사용하
면서도
VM
이 제공하는 모든 격리 기능을 누릴 수 있다.
카타는 컨테이너 런타임과 대상 호스트 사이에 하나의 프록시를 둔다. 이 런타임 프록시는
QEMU
를 이용해서 개별적인
VM
을 생성하고 그 안에서 컨테이너를 실행한다.
카타 컨테이너에 대한 비판 하나는
VM
이 부팅되기까지 시간이 걸린다는 점이다.
AWS
는
컨테이너 실행에 특화된 가벼운
VM
을 만들었다. 파이어크래커
Firecracker
가 바로 그것인데, 이
VM
은 보통의
VM
보다 시동 시간이 훨씬 짧다.
8.6
파이어크래커
§
5
.
6
VM
의 단점 (
p
.104
)에서 보았듯이
VM
은 시동이 느리기 때문에 흔히 컨테이너로 실행
하는 일시적 워크로드에는 적합하지 않다. 그런데 만일
VM
이 엄청나게 빠르게 부팅된다면 어
떨까? 파이어크래커(
https
://
oreil
.
ly
/
ZkPef
)는 하이퍼바이저와 커널 비
非
공유를 통한 안전한
격리의 장점을 그대로 누리면서도 시동 시간이
100ms
정도라서 보통의
VM
보다 컨테이너에
좀 더 ...