Изоляция контейнеров Docker от хостовой операционной системы обеспечивается с помощью следующих механизмов:

1. Пространства имён (namespaces). 12 Это механизм ядра Linux, позволяющий изолировать ресурсы ОС для экземпляров процессов. 2 Помещая процесс в пространство имён, можно ограничить ресурсы, видимые данному процессу. 2
2. Контрольные группы (cgroups). 12 Это функция ядра Linux, позволяющая контролировать потребление системных ресурсов процессами. 2 В Docker каталог для управления cgroups монтируется в виртуальной файловой системе хостовой ОС, поэтому внутри контейнеров нет ссылок на другие контейнеры или процессы хостовой ОС. 2
3. AppArmor. 2 Стандартный профиль AppArmor запрещает переход по ссылкам на файлы, находящиеся в директориях хостовой ОС /etc, /dev, /sys и /proc, во время инициализации контейнера. 2 Так предотвращается утечка информации, которую может спровоцировать вредоносный Dockerfile или образ путём монтирования связанных с хостовой ОС файлов в контейнере. 2