- Published on
컨테이너와 Docker 내부 완전 정복 — Namespace, cgroups, OverlayFS, seccomp, Capabilities 그리고 Kubernetes까지 (2025)
"컨테이너는 경량 VM 이 아니다." docker run 한 줄 뒤에는 7가지 Linux namespace, cgroups v2, OverlayFS 계층, seccomp 필터, Linux capabilities가 작동한다. 2008년 LXC에서 2013년 Docker 등장, 2015년 OCI 표준화, 2024년 현대 런타임 진화까지 — 컨테이너가 어떻게 VM 없이 격리를 만드는지, 왜 Docker가 VM 보다 100배 빠른지, 보안적으로 여전히 위험한 경계가 어디인지, 그리고 Kubernetes가 왜 Docker 가 아닌 containerd 를 기본으로 쓰는지.