Контейнеризация позволяет изолировать приложения и их окружение, чтобы они работали одинаково в разных средах. Основой изоляции в Linux являются namespaces — механизмы ядра, которые создают отдельные пространства имён для процессов.

Namespaces разделяют системные ресурсы:

PID namespace — изолирует идентификаторы процессов, чтобы процессы в контейнере видели только свои PID.
Mount namespace — отдельная точка монтирования файловой системы.
Network namespace — собственный сетевой стек (интерфейсы, IP-адреса).
UTS namespace — изоляция имени хоста и домена.
IPC namespace — изоляция межпроцессного взаимодействия.
User namespace — позволяет отображать UID и GID внутри контейнера иначе, чем в хосте, повышая безопасность.

Например, когда запускается контейнер, создаётся набор таких namespaces, и процессы внутри него видят только свои ресурсы, что обеспечивает изоляцию и безопасность. В Go можно работать с namespace через системные вызовы, например, используя пакет syscall для создания новых namespace при запуске процесса.

Как работает контейнеризация, расскажи про namespace подробнее?