Open Container Initiative

OCI 런타임 스펙은 컨테이너가 실제로 실행되는 환경과 생명주기를 정의하는 표준이다. 이 스펙은 컨테이너 런타임이 호스트 시스템에서 컨테이너를 생성, 시작, 관리, 삭제하는 방식을 기술한다. 구체적으로는 컨테이너의 실행 환경, 파일 시스템 번들의 구조, 실행 프로세스의 구성, 그리고 리소스 제한, 네트워크 네임스페이스, 보안 설정과 같은 구성 요소를 명시한다. 이는 다양한 컨테이너 런타임(runc, crun 등)이 동일한 스펙을 준수함으로써 상호 호환성을 보장하는 기반이 된다.

스펙의 핵심은 컨테이너의 실행을 위한 구성 파일인 config.json의 포맷을 정의하는 것이다. 이 파일에는 컨테이너 실행에 필요한 모든 정보, 예를 들어 실행할 바이너리 경로, 환경 변수, 마운트 포인트, 호스트명, 리눅스 커널의 capabilities 설정 등이 포함된다. OCI 호환 런타임은 이 표준화된 구성 파일을 읽고, 지정된 루트 파일시스템(rootfs) 번들과 함께 컨테이너를 실행하는 역할을 담당한다.

이러한 표준화의 직접적인 결과물이 바로 runc이다. runc는 OCI 런타임 스펙을 구현한 참조 런타임으로, 저수준의 컨테이너 실행 기능을 제공하는 CLI 도구이다. 도커 엔진을 비롯한 containerd, Podman과 같은 고수준 컨테이너 도구들은 내부적으로 OCI 스펙을 준수하는 runc나 다른 런타임을 활용하여 컨테이너를 실행한다. 따라서 런타임 스펙은 컨테이너 생태계의 하부 구조를 통일하고, 사용자와 플랫폼이 특정 벤더의 도구에 종속되지 않고 유연하게 런타임을 선택할 수 있는 자유를 부여한다.

OCI 이미지 스펙은 컨테이너 이미지의 포맷, 내용, 생성 방법을 정의하는 표준이다. 이 스펙은 컨테이너 이미지가 특정 런타임이나 호스트 시스템에 종속되지 않고, 다양한 컨테이너 도구와 오케스트레이션 플랫폼 간에 호환되도록 보장하는 것을 목표로 한다. 표준화된 이미지 포맷은 도커와 같은 특정 벤더의 기술에 종속되는 문제를 해결하고, 클라우드 컴퓨팅 환경에서의 이식성을 높이는 데 기여한다.

이미지 스펙은 주로 이미지 매니페스트, 이미지 인덱스, 그리고 레이어로 구성된 이미지 파일 시스템 번들의 구조를 규정한다. 매니페스트 파일은 이미지의 구성 요소, 의존성, 실행을 위한 설정 정보를 담고 있다. 인덱스는 다양한 아키텍처나 운영체제를 위한 다중 플랫폼 이미지를 지원하기 위한 메타데이터를 제공한다. 이러한 구조는 이미지의 생성, 검증, 배포 과정을 표준화한다.

이 표준은 컨테이너 레지스트리 간의 이미지 호환성을 보장하는 데도 중요한 역할을 한다. 사용자는 OCI 호환 이미지를 도커 허브, 쿠버네티스, 아마존 ECR, 구글 컨테이너 레지스트리 등 다양한 레지스트리와 런타임 환경에서 동일하게 사용할 수 있다. 이는 개발과 운영의 생태계를 통합하고, 공급망 보안을 강화하는 데 기여한다.

이미지 스펙은 런타임 스펙과 밀접하게 연동되어 작동한다. 표준화된 이미지 포맷으로 패키징된 애플리케이션은 OCI 호환 런타임 스펙을 구현한 도구를 통해 일관되게 실행될 수 있다. 이 두 스펙의 조화는 오픈 소스 컨테이너 생태계의 핵심 기반이 되었다.

배포 스펙은 컨테이너 이미지를 저장하고 배포하는 방법을 정의하는 표준이다. 이 스펙은 레지스트리와 클라이언트 간의 상호작용 방식을 규정하여, 서로 다른 컨테이너 런타임과 레지스트리가 호환되도록 보장한다. 구체적으로는 이미지의 식별, 다운로드, 업로드, 검증을 위한 API와 프로토콜을 명시한다.

이 스펙의 핵심은 컨테이너 이미지를 구성하는 매니페스트, 레이어, 구성 파일을 어떻게 네트워크를 통해 전송하고 관리할지에 대한 규칙을 제공하는 것이다. 이를 통해 도커 허브와 같은 공개 레지스트리나 사설 레지스트리 모두 동일한 프로토콜을 사용할 수 있게 되어 생태계의 통합을 촉진한다. 배포 스펙은 런타임 스펙과 이미지 스펙이 실질적으로 활용되기 위한 필수적인 인프라 표준 역할을 한다.

runc는 Open Container Initiative의 런타임 스펙을 구현한 경량의 컨테이너 런타임이다. OCI가 표준으로 정의한 컨테이너 생성과 실행의 저수준 사양을 직접적으로 실행하는 도구로, 리눅스 커널의 네임스펙과 cgroups 같은 기능을 활용하여 격리된 컨테이너 프로세스를 생성한다. runc 자체는 독립적인 명령줄 인터페이스 도구로 사용될 수 있지만, 주로 containerd나 도커 엔진 같은 상위 레벨의 컨테이너 관리 시스템에 의해 내부적으로 호출되어 컨테이너의 실제 생명주기를 관리하는 데 사용된다.

이 도구는 원래 도커의 libcontainer 프로젝트에서 기원하였으며, OCI 표준의 핵심 구현체가 되기 위해 기증되었다. runc는 Go 언어로 작성되어 있으며, 단일 실행 파일로 배포되어 의존성이 적고 이식성이 높다는 특징을 가진다. 그 설계 철학은 최소한의 기능에 집중하는 것으로, 이미지 관리나 네트워킹, 고가용성 같은 고수준의 기능은 상위 시스템에 맡기고, 표준에 정의된 컨테이너 실행과 관리를 안정적이고 효율적으로 수행하는 데 주력한다.

runc의 존재는 컨테이너 생태계에서 표준의 실질적인 구현을 제공함으로써 호환성과 상호운용성을 보장하는 데 기여한다. 쿠버네티스를 비롯한 다양한 컨테이너 오케스트레이션 플랫폼들이 CRI를 통해 다양한 런타임을 지원할 수 있는 기반이 되기도 하였다. 또한, runc의 안정성과 보안은 전체 컨테이너 스택의 기초를 이루므로, 지속적인 보안 취약점 점검과 개선이 이루어지고 있다.

containerd는 OCI의 런타임 스펙을 준수하는 고성능 컨테이너 런타임이다. 도커에서 분리되어 개발된 이후, 리눅스 재단의 관리 하에 독립적인 오픈소스 프로젝트로 발전했다. containerd는 컨테이너의 생명주기 관리, 이미지 전송 및 저장, 스토리지 관리, 네트워크 인터페이스 관리 등 핵심 컨테이너 운영 기능을 제공하는 데 중점을 둔다. 이는 도커 엔진과 같은 상위 레벨의 컨테이너 플랫폼이나 쿠버네티스와 같은 오케스트레이션 도구가 사용하는 표준화된 하위 구성 요소 역할을 한다.

containerd의 아키텍처는 모듈식 설계를 채택하고 있다. 핵심은 gRPC API를 통해 외부 시스템과 통신하는 데몬 프로세스이며, 내부적으로는 컨테이너 실행을 위해 runc와 같은 OCI 호환 런타임을 사용한다. 이 분리된 구조는 도커나 쿠버네티스가 컨테이너 관리의 복잡성을 containerd에 위임하고, 더 높은 수준의 기능 개발에 집중할 수 있게 한다. 결과적으로 containerd는 현대 컨테이너 생태계의 사실상의 표준 기반 런타임 계층으로 자리 잡았다.

주요 기능으로는 이미지 풀(pull)과 푸시(push), 컨테이너 생성/시작/중지/삭제, 로컬 이미지 및 컨테이너 스토리지 관리, 네트워크 네임스페이스 및 마운트 관리 등이 있다. 또한, 스냅샷터 시스템을 통해 다양한 스토리지 드라이버를 지원하여 효율적인 이미지 레이어 관리를 가능하게 한다. 이러한 설계 덕분에 containerd는 안정성과 성능이 요구되는 대규모 클라우드 네이티브 환경에서 널리 채택되고 있다.