Podman Rootless Container 의 PID/User Namespace
2024. 2. 15.
PID Namespaces PID Namespace는 PID에 대한 격리를 제공하는 Namespace로 자신의 PID 네임스페이스 내의 다른 프로세스만 볼 수 있고, 상위 혹은 다른 PID Namespace 내의 프로세스 정보는 확인할 수 없다. 즉, Process 에 대한 격리를 위하여 사용된다. 기능 자체가 Kernel 단에서 처리되는 것이기 때문에 100% 안전할 수 있다고 없지만 Container에서 Process 격리를 위해 선택되고 있다. 만약 좀 더 보안을 강화 한다면 SandBox 형태의 kata-container에 대한 부분도 고려하는 것이 좋아 보인다. 아래와 같이 lsns 명령을 이용하여 Namespace 사용 중인 리스트를 출력할 수 있고, "-t pid" 옵션을 추가하여, PID ..