컨테이너, 마운트 네임스페이스(Mount Namespace)로 뚝딱!

게시물은 마운트 네임스페이스(Mount Namespace)가 컨테이너의 파일 시스템 격리를 위한 핵심 기술임을 강조한다. 특히, `unshare --mount` 명령어를 통해 새로운 마운트 네임스페이스를 생성하고, 이를 통해 호스트와 컨테이너 간의 파일 시스템 뷰를 분리하는 과정을 설명한다. 바인드 마운트(Bind Mount)를 활용하여 파일 시스템의 특정 부분을 격리하는 실험을 통해, 마운트 네임스페이스의 동작 원리를 시각적으로 보여준다. 이러한 격리는 컨테이너가 호스트 시스템의 영향을 받지 않고 독립적으로 실행될 수 있도록 하는 기반이 된다.

게시물은 마운트 전파(Mount Propagation)의 개념과, 컨테이너 격리에 미치는 영향을 심도 있게 다룬다. 특히, `private`, `shared`, `slave` 등 다양한 전파 유형(Propagation Type)을 설명하며, `rprivate` 설정을 통해 마운트 이벤트가 다른 네임스페이스로 전파되는 것을 방지하는 것이 중요하다고 강조한다. pivot_root 시스템 콜(System Call)을 사용하여 새로운 루트 파일 시스템으로 전환하는 과정에서, 마운트 전파 설정이 컨테이너의 안전성을 확보하는 데 필수적임을 보여준다.

게시물은 컨테이너 파일 시스템을 구축하는 상세한 단계를 제시한다. Alpine Linux 이미지를 활용하여 컨테이너의 루트 파일 시스템을 준비하고, `pivot_root` 시스템 콜을 사용하여 새로운 루트로 전환하는 과정을 설명한다. 또한, `/proc`, `/dev`, `/sys`와 같은 가상 파일 시스템(Virtual Filesystems)을 컨테이너 내부에 적절하게 구성하는 방법을 제시하며, PID 네임스페이스(PID Namespace)와 cgroup 네임스페이스(cgroup Namespace)를 함께 사용하여 컨테이너의 격리를 강화하는 방법을 설명한다.

게시물은 Docker의 볼륨(Volume)과 바인드 마운트(Bind Mount)의 동작 원리를 심층적으로 분석한다. Docker가 바인드 마운트(Bind Mount)를 사용하여 호스트의 파일 및 폴더를 컨테이너에 공유하는 방식을 설명하며, 볼륨이 실제로는 바인드 마운트의 확장된 개념임을 밝힌다. Docker는 볼륨에 대해 `rprivate` 마운트 전파 유형을 기본적으로 설정하여, 컨테이너 내에서 생성된 하위 마운트가 호스트에 영향을 미치지 않도록 한다. 데이터 격리 아키텍처(Data Isolation Architecture)를 위한 핵심 기술임을 강조한다.