Linux Namespaces & cgroups
Тема дорожной карты · Docker & Containers
Namespaces (pid, mnt, net, uts, ipc, user, cgroup, time) дают контейнеру собственный взгляд на ресурсы ядра; cgroups v2 ограничивают CPU, память, IO и количество PID. Вместе они и есть тот самый механизм, который делает «контейнеры» — Docker лишь оркестрирует их. Для отладки используйте unshare, nsenter, lsns; live-лимиты смотрите через systemd-cgls или /sys/fs/cgroup/. Типичная ловушка: --privileged отключает почти всю изоляцию; user namespaces ремапят UID, но ломают часть сценариев с bind-mount.
Как это работает
Linux Namespaces & cgroups начинается с понимания: контейнер — это процесс (или дерево процессов) на ядре хоста со своими namespace для файловой системы, сети, PID — не VM. Ядро Linux даёт namespaces (изоляция) и cgroups (лимиты ресурсов); Docker — один из runtime, оборачивающий эти примитивы в удобный CLI + формат образов. Образы собираются один раз и запускаются везде, где есть совместимое ядро; слоёная модель даёт дешёвые пересборки за счёт кэша.
Когда применять
Берите контейнеры, когда нужно (а) воспроизводимые сборки между dev/CI/prod, (б) плотное размещение сервисов на одном хосте, (в) быстрый старт по сравнению с VM, (г) переносимый артефакт для дистрибуции. Пропустите для одноразовых shell-скриптов, hard-realtime нагрузок или приложений с привилегированным доступом к ядру (containers + privileged даёт тот же blast radius, что и VM, часто без VM-уровня изоляции).
Типичные ошибки
Ловушки Linux Namespaces & cgroups: путаница контейнеров с VM и ожидание полной изоляции (контейнер делит ядро — kernel-CVE пробивает границу); запуск контейнеров как root внутри (escapes проще); поставка 2 GB Ubuntu-образа для запуска 5 MB Go-бинарника; монтирование /var/run/docker.sock в контейнер "для удобства" (это root на хосте). Считайте контейнеры частью модели безопасности, не границей безопасности сами по себе.