컨테이너와 vm의 차이점
컨테이너
Linux Container는 linux의 가상화 기술을 사용하여 작동한다.
컨테이너에서 실행되는 프로세스는 다른 모든 프로세스와 마찬가지로 호스트 운영체제 내에서 실행된다.
( 프로세스가 별도의 운영체제에서 실행되는 vm과는 다르다 )
컨테이너의 프로세스는 여전히 다른 프로세스와 격리돼 있음.
컨테이너는 더 가벼움 → 이유는 ? vm은 각각 독립적인 게스트OS를 사용하지만
컨테이너는 하나의 호스트 운영체제 내에서 실행되기 때문이다.
( vm은 구성 요소 프로세스뿐만 아니라 시스템 프로세스도 실행해야 하기 때문에 컴퓨팅 리소스가 더 필요하다 반면 컨테이너는 하나의 격리된 프로세스에 지나지 않음 )
출처: https://blog.netapp.com/blogs/containers-vs-vms/
VM은 호스트OS위의 가상화 프로세스인 하이퍼바이저를 통해 가상 머신을 실행한다.
이 가상머신내에서 실행되는 어플리케이션이 자기자신의 게스트 OS 커널에 대한 시스템 콜을 수행하면 커널은 하이퍼바이저로 호스트의 물리적 CPU에서 x86명령을 수행한다.
하이퍼바이저는 두가지 타입이 있다.
- 베어메탈의 하이퍼바이저는 직접 하드웨어를 제어하기 때문에 호스트OS가 없다.
- Citrix Xen, VMWare ESX Server, MS Hyper-V등이 위 타입
- 호스트 운영체제에서 실행되는 하이퍼바이저
- VMware Server, QEMU, 오라클사의 VirtualBox등이 있다.
반면 컨테이너는 호스트 OS에서 실행되는 동일한 커널에서 시스템 콜을 수행한다.
이 커널은 호스트 CPU에서 x86명령을 수행하는 유일한 커널이다.
CPU는 가상머신과 같은 방식으로 어떠한 종류의 가상화도 필요가 없다.
출처 https://livebook.manning.com/book/kubernetes-in-action/chapter-1/68
Vm은 각 vm이 자체 리눅스 커널을 실행해 완전한 격리를 제공
컨테이너는 모든 컨테이너가 동일한 커널을 호출한다. 하지만 보안의 위험이 있음.
하드웨어 리소스가 한정적일 경우 실행시킬 프로세스가 적다 ?
그럼 vm
많이 돌려야된다 ?
그럼 컨테이너
컨테이너는 부팅이 필요가 없다 같은 커널을 공유하기 떄문에 그냥 프로세스 실행하면 바로 실행이 시작된다.
컨테이너는 어떻게 동일한 운영체제에서 프로세스를 격리시킬수 있는것인가 ?
리눅스 네임스페이스로 각 프로세스가 시스템 ( 파일, 프로세스, 네트워크 인터페이스 , 호스트 이름 등) 에 대한 독립된 뷰만 볼수 있도록 한다.
두번째는 Cgroup으로 프로세스가 사용할 수 있는 리소스 ( CPU, 메모리, 네트워크 대역폭 등) 의 양을 설정 또는 제한 할수 있다.
NameSpace
각 리눅스 시스템은 기본적으로 초기 구동시 하나의 네임스페이스가 존재한다.
파일시스템 , 프로세스 ID , 사용자 ID , 네트워크 인ㅍ터페이스 등과 같은 모든 시스템 리소스는
하나의 네임스페이스에 속한다.
여기서 추가 네임스페이스를 생성해서 리소스를 구성할수 있다.
프로세스를 실행할때 해당 네임스페이스 중 하나에서 프로세스를 실행한다.
프로세스는 동일한 네임스페이스 내에 있는 리소스만 볼수 있다.
( 프로세스가 돌아가고있는 네임스페이스의 리소스만 볼수 있음 )
여러 종류의 네임스페이스가 있기 떄문에 프로세스는 하나의 NS에 속하는게 아니라 여러 NS에 속할수 있다.
NS의 종류
마운트, 프로세스 ID ( pid ) , 네트워크 ( net ) , 프로세스 간 통신 ( ipc )
호스트와 도메인 이름 ( uts )
- 이 UTS는 Unix Time Sharing으로 호스트 이름과 Network Inetrnet Service 일명 nis 도메인 이름 관련 네임스페이스다.
사용자 ID ( user )
UTS는 해당 네임스페이스 내에서 실행 중인 프로세스가 사용할 호스트 이름과 도메인 이름을 결정한다.
두개의 서로 다른 UTS 네임스페이스를 한쌍의 프로세스에 각각 지정하면
서로다른 로컬 호스트이름을 보게 할수도 있다.
즉 두 프로세스를 마치 두개의 다른 시스템에서 실행중인것처럼 보이게 가능 ( 호스트 이름만 )
마찬가지로 프로세스가 속한 네트워크 네임스페이스는 실행 중인 애플리케이션의 프로세스에서 볼 수 있는 네트워크 인터페이스를 결정한다.
각 네트워크 인터페이스는 정확히 하나의 ns에 속하지만 한 ns에서 다른 ns로 이동할 수 있다.
각 컨테이너는 고유한 네트워크 ns를 사용하므로 각 컨테이너는 고유한 ns interface set를 볼수 있다.
ns를 이용해 컨테이너에서 app을 분리하는 방법을 알수 있다.
Cgroup
Cgroup의 역할은 namespace로 각 컨테이너를 격리 시킨 후 각 컨테이너가 사용할 수 있는 시스템 리소스의 양을 설정하거나 제한하는 것.
( 프로세스의 리소스사용을 제한하는 것이 cgroup )
Cgroup를 이용하여 제한을 걸면 다른 프로세스용으로 예약된 리소스를 사용할수 없다.
이는 각 프로세스가 별도의 시스템에서 실행될때와 비슷하다.
초반 도커는 LXC를 이용하여 개발
0.9버전부터는 libcontainer를 개발하여 사용
현재는 runc 사용
참고
쿠버네티스 인 액션
시작하세요 도커 쿠버