三大技术基础

• Namespace：隔离。应用只能看到Namespace内的进程/线程。
• Cgroups：限制。应用只能使用指定的CPU/MEM等资源。
• rootfs：文件系统。基于AUFS联合挂载在/var/lib/docker/aufs/mnt上的rootfs。
• Namespace + Cgroups 构成的隔离环境，称为容器runtime，是容器的动态视图。
• rootfs称为容器镜像，是容器的静态视图。