Container Runtime (containerd, CRI-O)

Container Runtime (containerd, CRI-O)

컨테이너 이미지를 실행하고 라이프사이클(생성·시작·정지·삭제)을 관리하는 저수준 런타임 소프트웨어

특징: OCI 표준 준수, CRI(Container Runtime Interface) 구현으로 K8s 직접 연동, 경량화(Docker 대비 불필요 기능 제거), 보안 격리(네임스페이스/cgroups)

종류

• •containerd: Docker에서 분리된 CNCF 졸업 프로젝트, 범용 고수준 런타임, 이미지 관리+실행+스토리지+네트워크 통합
• •CRI-O: K8s 전용 경량 런타임, Red Hat 주도, CRI 네이티브 구현, K8s 릴리스와 동기화
• •runc: OCI 참조 구현 저수준 런타임, 실제 컨테이너 프로세스 생성·실행 담당
• •gVisor: Google 샌드박스 런타임, 사용자 공간 커널로 호스트 커널 격리 강화
• •Kata Containers: 경량 VM 기반 컨테이너 격리, 하드웨어 수준 보안, 멀티테넌트 환경

아키텍처: kubelet → CRI(gRPC) → 고수준 런타임(containerd/CRI-O) → OCI 저수준 런타임(runc/gVisor/Kata)

비교

연관: OCI 표준, Docker, Kubernetes, 컨테이너, 컨테이너 이미지 보안