docker namespace
- mount
- uts HOSTNAME和domain的隔离 名称空间
- pid
- network
- user
- ipc 进程间通信
- cgroup
使用unshare 进行创建namespace
容器中常用的cgroup
- cpu
- memory
- device 控制了容器中可见的device 设备
- freezer 进程冻结,防止进程fork 逃逸
- bikio 磁盘io限制
- pid 可用最大进程数量
使用unshare 进行创建namespace
容器中常用的cgroup