Как работает изоляция системных ресурсов в Linux с помощью пространств имен?

Изоляция системных ресурсов в Linux с помощью пространств имён (namespaces) работает следующим образом: механизм создаёт изолированные «песочницы» для процессов, каждая из которых функционирует независимо от других. www.pvsm.ru В результате каждая группа процессов может иметь собственное представление о системных ресурсах. www.pvsm.ru

Некоторые виды пространств имён и их назначение:

• PID Namespace. telegra.ph Изолирует идентификаторы процессов (PID). telegra.ph Процессы внутри этого пространства видят свои собственные PID, начиная с 1, и не могут видеть процессы вне этого пространства. telegra.ph
• Mount Namespace. telegra.ph Изолирует точки монтирования файловой системы. telegra.ph Процессы внутри видят собственную файловую систему или её часть, не затрагивая хост-систему. telegra.ph
• UTS Namespace. telegra.ph Позволяет изолировать имена узлов и доменов, то есть hostname и domainname. telegra.ph
• Network Namespace. telegra.ph Изолирует сетевые интерфейсы, маршруты, таблицы ARP и т. д.. telegra.ph Процессы внутри имеют свой собственный сетевой стек. telegra.ph
• IPC Namespace. telegra.ph Изолирует межпроцессное взаимодействие с помощью System V IPC. telegra.ph
• User Namespace. telegra.ph Изолирует идентификаторы пользователей и групп. telegra.ph
• Cgroup Namespace. telegra.ph Изолирует видимость cgroups. telegra.ph Процессы видят только свои собственные cgroups. telegra.ph
• Time Namespace. telegra.ph Позволяет изолировать системное время, чтобы процессы могли видеть другое время, нежели хост-система. telegra.ph

Пространства имён используются современными системами контейнеризации (Docker, LXC и другими) при запуске программ. habr.com