Контейнеры в Linux работают за счёт изоляции процессов и ресурсов с помощью таких технологий, как namespaces и cgroups. Namespaces изолируют видимость системных ресурсов (процессы, сеть, файловую систему и др.) для каждого контейнера, создавая отдельное пространство, будто это отдельная машина. Cgroups ограничивают и контролируют использование ресурсов (CPU, память, диск) контейнером.

В отличие от виртуальных машин, контейнеры не эмулируют отдельное железо, а используют ядро хоста, что делает их лёгкими и быстрыми. В контейнере запускается приложение с его зависимостями, но при этом оно изолировано от других процессов системы.

Пример запуска контейнера с Docker:

docker run -it --rm ubuntu bash

Здесь создаётся изолированное окружение на базе образа Ubuntu, в котором можно запускать процессы, не влияя на хостовую систему.

Объясните принцип функционирования контейнеров в операционной системе Linux.