[컨테이너] 포드맨 (Podman)

포드맨

포드맨(Podman)(또는 파드맨)은 리눅스 시스템에서 컨테이너를 개발, 관리 및 실행하기 위한 오픈소스 툴로서 도커와 같은 다른 컨테이너 엔진을 대체할 수 있다. 다른 컨테이너 엔진과 달리 루트 권한을 통해 실행되는 데몬이 없는 데몬리스(daemonless) 아키텍처를 따른다. 이러한 아키텍처 구성은 데몬의 보안 취약점을 없애고 유휴 리소스 사용을 줄인다. 포드맨의 컨테이너는 항상 루트리스(rootless)이므로 사용자는 컨테이너 프로세스에 관리 권한이 없어도 포드맨을 통해 컨테이너에 접근하고 이를 관리할 수 있다. 접근 권한은 SELinux를 통해 제어된다.

루트리스 컨테이너

루트리스 컨테이너(rootless container)란 관리 권한이 없는 사용자에 의해 생성, 실행 및 관리되는 컨테이너를 말한다. 루트리스 컨테이너를 사용하면 다음과 같은 이점이 있다.

• 새로운 보안 계층이 추가된다. 공격자는 호스트의 루트 권한을 얻지 못한다.
• 권한이 없는 사용자가 동일한 머신에서 여러 컨테이너를 실행할 수 있게 해준다. 이는 고성능 컴퓨팅(HPC) 환경에서 특히 유리하다.
• 중첩된 컨테이너 내부의 격리를 허용한다.

참고

• https://www.redhat.com/ko/topics/containers/what-is-podman
• https://github.com/containers/podman/blob/main/docs/tutorials/rootless_tutorial.md
• https://developers.redhat.com/blog/2020/09/25/rootless-containers-with-podman-the-basics