728x90
반응형
chroot
- 프로세스에 대하여 새로운 root 디렉토리를 지정하는 것
- 새로운 root 디렉토리가 지정된 프로세스는 할당된 root 디렉토리 하위로만 접근이 가능함
- 즉 프로세스에 대한 파일시스템 격리 (다만 시스템 설정 및 환경은 동일함)
- 참고자료 : man7.org/linux/man-pages/man1/chroot.2.html
namespace
- 프로세스 별 리소스 사용을 분리하는 것
- namespace 말 그대로 이름이 다른 공간을 만들어, 프로세스를 분리함
- 다른 namespace에 존재하는 프로세스들은 서로 리소스 관리를 따로 수행 ex) namespace a에서 동작하는 aa 프로세스에서 hostname을 test로 변경한다고 해도, namespace b에서 동작하는 bb 프로세스의 hostname은 변하지 않음
- 즉 프로세스에 대한 환경 격리 (다만 하드웨어 자원에 대한 분리를 수행하지는 않음)
- 참고자료 : man7.org/linux/man-pages/man7/namespaces.7.html
cgroup
- 프로세스 별 가용 컴퓨팅 자원(메모리, cpu, device, device, disk I/o)을 제어하는 것
- 참고자료 : man7.org/linux/man-pages/man7/cgroups.7.html
Linux의 세계는 멀고도 험하다...
728x90
반응형
'Container Security > Docker' 카테고리의 다른 글
[T0M4TO] Hypervisor를 이용한 가상화 방식 종류 (0) | 2021.02.19 |
---|---|
[T0M4TO] Virtual Machine(가상머신)과 Docker의 차이 (0) | 2021.02.13 |