容器目的:资源隔离。没有主机级别隔离彻底。jail.chroot.
用户空间隔离:namespaces
UTS:主机名和域名。
Mount:挂载点(文件系统。)
IPC:进程间通信、共享内存。
PID:进程隔离。pid为1的是init
User:用户、用户组。(内核3.8才开始支持。)
Net:网络设备、网络栈、端口等。
cpu资源:可压缩型资源。
内存资源:不可压缩资源。OOM。
LXC: LinuX Container.
docker是LXC的增强版。
docker一个容器只运行一个进程。LXC当作一个用户空间。