namespaces命名空间

编程语言

        封装→代码隔离

操作系统

        系统资源的隔离

        进程、网络、文件系统

进程隔离PID:Process ID

网络接口管理NET:Network

跨进程通信的访问IPC:InterProcess Communication

管理挂载点MNT:Mount

隔离内核和版本标识UTS:Unix Timesharing System

Control groups控制组

资源限制

优先级设定

资源计量

资源控制

Docker容器的能力

文件系统隔离:每个容器都有自己的root文件系统

进程隔离:每个容器都运行在自己的进程环境中

网络隔离:容器件的虚拟网络接口和IP地址都是分开的

资源隔离和分组:使用cgroup将CPU和内存之类的资源独立分配给每个容器