61. 컨테이너 (Container) - 경량 가상화

핵심 인사이트 (3줄 요약)

본질: 컨테이너(Container)는 애플리케이션과 의존성을 이미지로 묶고, 호스트 OS 커널을 공유하면서 격리된 프로세스로 실행하는 경량 가상화 기술이다.

가치: VM보다 빠르게 뜨고 자원 오버헤드가 적어, "내 PC에서 되던 것이 서버에서도 그대로 되는" 이식성을 제공한다.

융합: namespaces와 cgroups가 컨테이너 격리의 핵심이며, Docker와 Kubernetes가 이를 클라우드 표준 운영 모델로 만들었다.

Ⅰ. 개요 및 필요성

과거에는 하나의 애플리케이션을 올리기 위해 무거운 VM과 Guest OS를 같이 띄워야 했다. 그러면 시작도 느리고, 자원도 많이 먹고, 환경 차이 때문에 배포가 흔들렸다.

컨테이너는 이런 문제를 풀기 위해 등장했다. 애플리케이션이 필요한 것만 묶고, 실행 환경은 호스트 커널을 공유해 가볍게 만든다.

📢 섹션 요약 비유: 집을 새로 짓는 대신, 같은 아파트 안에 규격화된 방을 빨리 만드는 방식이다.

Ⅱ. 아키텍처 및 핵심 원리

애플리케이션 + 라이브러리
        ↓
컨테이너 이미지
        ↓
컨테이너 런타임
        ↓
호스트 OS 커널 공유
        ↓
논리적 격리된 프로세스

구성 요소	역할
Image	실행에 필요한 파일 묶음
Runtime	컨테이너를 실제 실행
Namespace	보이는 자원 분리
cgroups	CPU, 메모리 사용량 제한
Registry	이미지를 저장하고 배포

컨테이너는 커널을 공유하지만, namespaces로 시야를 나누고 cgroups로 자원 사용량을 제한한다. 그래서 가볍지만, 완전한 OS 분리는 아니다.

📢 섹션 요약 비유: 같은 전기와 수도를 쓰는 원룸이지만, 문과 주소는 각각 따로 있는 구조다.

Ⅲ. 비교 및 연결

항목	VM	Container	MicroVM
격리 수준	강함	중간	강함
실행 속도	느림	빠름	빠름
오버헤드	큼	작음	중간
커널 공유	아님	함	최소화

컨테이너는 마이크로서비스, CI/CD, 클라우드 네이티브 환경에서 특히 강하다. 반면 강한 보안 경계가 필요한 경우에는 microVM이나 추가 샌드박스를 같이 고려해야 한다.

📢 섹션 요약 비유: 단독주택, 아파트 원룸, 경비가 더 붙은 보안 원룸의 차이다.

Ⅳ. 실무 적용 및 기술사 판단

체크리스트

애플리케이션이 stateless 또는 쉽게 재시작 가능한가?
이미지가 너무 크지 않고 재현 가능한가?
resource limit과 namespace 분리가 적용됐는가?
root 권한과 secret 관리가 안전한가?
운영 환경에서 observability와 rollout 전략이 있는가?

안티패턴

컨테이너를 VM과 같은 보안 경계로 착각하는 설계
root 컨테이너와 과도한 권한을 기본으로 쓰는 설계
이미지 안에 모든 도구를 넣어 비대해지는 설계
자원 제한 없이 "일단 띄우자"로 가는 설계

기술사 관점에서는 컨테이너를 단순한 패키징 도구로 보지 말고, 운영과 배포를 바꾸는 플랫폼 패턴으로 봐야 한다. 보안은 커널 공유를 전제로 추가로 설계해야 한다.

📢 섹션 요약 비유: 상자에 잘 담는 것도 중요하지만, 같은 창고를 쓴다는 사실을 잊으면 안 된다.

Ⅴ. 기대효과 및 결론

컨테이너는 애플리케이션 배포를 빠르고 일관되게 만들어 주며, 현대 클라우드 운영의 표준이 되었다. Docker와 Kubernetes는 그 위에서 생태계를 넓혔다.

결국 컨테이너는 "가볍고 빠른 배포 단위"를 만드는 기술이지, 절대적인 보안 장벽은 아니라는 점을 기억해야 한다.

📢 섹션 요약 비유: 같은 바구니에 담아 빨리 옮기되, 바구니가 금고는 아니라는 뜻이다.

어린이를 위한 3줄 비유 설명

컨테이너는 필요한 물건만 담은 작은 상자예요.
아파트의 한 방처럼 빨리 만들고 빨리 옮길 수 있어요.
하지만 방이 곧 금고는 아니에요.