Запуск нескольких изолированных окружений на одной локальной машине с помощью Docker и контейнеризации становится возможным благодаря использованию возможностей ядра ОС Linux, таких как namespaces и cgroups.

Namespaces обеспечивают изоляцию различных аспектов окружения: процессов (PID namespace), сети (network namespace), файловой системы (mount namespace), пользователей (user namespace) и др. Это позволяет контейнерам видеть и управлять только своими ресурсами, не влияя на другие.

Cgroups (control groups) ограничивают и контролируют использование ресурсов (CPU, память, диск, сеть) каждым контейнером, предотвращая их взаимное влияние и обеспечивая гарантии по ресурсам.

Таким образом, контейнеры работают как легковесные виртуальные машины, разделяя ядро ОС, но изолируя процессы и ресурсы, что позволяет запускать множество независимых окружений на одной машине без полной виртуализации.

Пример:

PID namespace: процессы в контейнере видят только свои процессы.
Network namespace: контейнер имеет собственный сетевой стек.
Cgroups: ограничение памяти контейнера до заданного лимита.

За счёт чего становится возможным запускать несколько изолированных окружений на одной локальной машине (Docker/контейнеризация)?