Namespaces — механизм ядра, изолирующий ресурсы процессов. Существует 8 типов: mnt, uts, ipc, pid, net, user, cgroup, time. Каждый тип изолирует свой ресурс независимо.
Контейнерные рантаймы используют namespaces совместно с cgroups, seccomp и capabilities — набор и конфигурация зависят от настроек запуска. Создать изолированный сетевой стек вручную: unshare --net bash. Посмотреть namespaces процесса: ls -la /proc/<pid>/ns/.
#linux #kernel #namespaces #containers #sysadmin