containerd (표준)
- Docker, k8s 기본으로 쓰는 런타임
- 커널 공유, namespace 격리
kata containers
- 경량 VM + 독립 커널
- 보안 강화
gVisor (Google)
- syscall 가로채는 샌드박스
- 커널 직접 접근 차단
crun
- containerd보다 가벼운 런타임
- Red Hat 만듦
Firecracker (AWS)
- Lambda, Fargate 내부에서 씀
- kata처럼 경량 VM 기반
- AWS가 만든 것
`RuntimeClass로 컨테이너마다 런타임 지정 가능
일반 파드 → containerd 보안 민감 파드 → kata or gVisor`
컨테이너 런타임 = 컨테이너를 실제로 실행시키는 주체