namespace和cgroup

namespace隔离：
主机与域名
信号量、消息队列和共享内存
进程编号
网络设备、网络栈、端口等
挂载点（文件系统）
用户和用户组

cgroup 可以看到这个目录下/sys/fs/cgroup/:
blkio：可以为块设备设定输入 输出限制，比如物理驱动设备
cpu：使用调度程序控制任务对cpu的使用
cpuacct：自动生成cgroup中任务对cpu资源使用情况的报告
cpuset：可以为cgroup中的任务分配独立的cpu和内存
devices：可以开启或关闭cgroup中任务对设备的访问
freezer： 可以挂起或恢复cgroup中的任务
memory：可以设定cgroup中任务对内存使用量的限定，并且自动生成这些任务对内存资源使用情况的报告
perf_event:使用后使cgroup中的任务可以进行统一的性能测试
net_cls:docker没有直接使用它，它通过使用等级识别符标记网络数据包，从而允许linux流量控制程序识别从具体cgroup中生成的数据包