Docker는 내부적으로 어떻게 작동합니까?

Question

Accepted Answer

Docker는 Linux 커널 기능 — **namespace**(격리), **cgroup**(리소스 제어), **union 파일시스템**(layer로 이루어진 image) — 을 사용하여 가벼운 container를 만듭니다. 기저 메커니즘을 이해하면 container가 어떻게 격리와 효율성을 달성하는지 설명할 수 있습니다.

## namespace — 격리

```text
Linux NAMESPACE는 프로세스가 볼 수 있는 것을 격리함 — 각 container에 자체 뷰를 부여:
  PID namespace     → 자체 프로세스 트리(container가 자체 프로세스만 봄)
  NET namespace     → 자체 네트워크 인터페이스, IP, 포트
  MNT namespace     → 자체 파일시스템 마운트
  UTS namespace     → 자체 호스트명
  IPC, USER namespace → 격리된 IPC, 사용자/그룹 ID 매핑
→ namespace는 container가 별도의 머신처럼 느껴지는(격리된 뷰) 이유임,
  실제로는 호스트 커널을 공유하면서.
```

## cgroup — 리소스 제어

```text
제어 그룹(CGROUP)은 container별 리소스 사용량을 제한하고 계산함:
  → CPU, 메모리, 디스크 I/O, 네트워크 대역폭
→ cgroup은 리소스 제한(-m, --cpus)을 설정할 수 있는 이유임 — 커널이 그것들을 강제함.
```

## union 파일시스템 — layer로 이루어진 image

```text
UNION/OVERLAY 파일시스템(overlayfs)은 image LAYER를 쌓음:
  → 읽기 전용 image layer + 위에 얇은 쓰기 가능 container layer, 하나의 뷰로 병합됨
  → layer는 image/container 간에 공유됨(디스크에 한 복사본) → 공간 효율적
→ 이것이 image가 layer로 이루어지고, 캐시되고, 공유 가능하며, container가 가벼운 이유임.
```

## 아키텍처

```text
Docker CLI → Docker 데몬(dockerd) → containerd → runc(namespace + cgroup을 사용하여
  container 생성). 데몬은 image, container, 네트워크, volume을 관리함.
→ container는 호스트의 격리된 프로세스일 뿐임(VM이 아니라) — 커널 기능을 사용하여,
  호스트 커널을 공유 → 가볍고 빠름.
```

## 왜 중요한가

Docker가 내부적으로 어떻게 작동하는지 이해하는 것은 가치 있는 시니어 수준 지식입니다. 그것이 **container를 명확히 설명**하고 그 핵심 속성(격리, 효율성, 리소스 제어)을 설명하여, 컨테이너화된 시스템을 추론하고, 구성하고, 문제를 해결하는 능력을 심화시키기 때문입니다.

중요한 통찰은 **container가 VM이 아니라 — Linux 커널 기능을 사용하는 호스트의 격리된 프로세스**라는 것이며, 이것이 그것들이 가볍고 빠른 이유입니다(별도의 OS를 실행하는 대신 호스트 커널을 공유).

**세 가지 핵심 메커니즘**을 이해하면 속성을 설명할 수 있습니다. **namespace**는 프로세스가 볼 수 있는 것을 격리하고(자체 프로세스 트리, 네트워크, 파일시스템, 호스트명 — 이것이 container가 커널을 공유하면서도 별도의 머신처럼 느껴지는 *이유*), **cgroup**은 리소스 사용량을 제한하고 계산하며(이것이 CPU와 메모리 제한을 설정할 수 있는 *이유* — 커널이 그것들을 강제), **union/overlay 파일시스템**은 image layer를 쌓습니다(이것이 image가 layer로 이루어지고, 캐시되고, 공유 가능하며, container가 가벼운 *이유* — container 전반에 걸쳐 공유되는 읽기 전용 layer에 위에 얇은 쓰기 가능 layer).

**아키텍처**(CLI → 데몬 → containerd → runc, 데몬이 모든 것을 관리)를 이해하면 Docker가 어떻게 작동하는지에 대한 완전한 그림이 제공됩니다.

이 더 깊은 이해는 격리 경계(와 container가 커널을 공유하므로 그 보안 함의)를 추론하고, 성능과 효율성 특성을 설명하고, 문제 해결을 돕습니다.

기저 메커니즘(namespace, cgroup, union 파일시스템)을 이해하는 것이 container가 *왜* 그렇게 행동하는지 — 그 격리, 효율성, 리소스 제어, 그리고 호스트 커널을 공유한다는 중요한 사실(보안 함의 포함) — 을 설명하고 컨테이너화된 시스템으로 자신 있게 작업하는 능력을 심화시키므로, Docker가 내부적으로 어떻게 작동하는지 이해하는 것은 사람을 Docker를 사용하는 것에서 진정으로 이해하는 것으로 격상시키는 가치 있는 시니어 수준 지식이며, 시니어 직무에 기대되는 깊이를 반영하는 주제이자 container 동작, 보안 경계, 성능을 추론하는 데 유용합니다.