Как Docker обеспечивает изоляцию без полной виртуализации?

Docker использует Linux namespaces (PID, NET, MNT, UTS, IPC) для изоляции и cgroups для ограничения ресурсов. Контейнеры разделяют ядро хоста — это быстрее VM (нет гипервизора, нет отдельного ядра), но менее изолировано. Компромисс: контейнеры стартуют за миллисекунды, потребляют меньше памяти, но уязвимость в ядре — общая проблема. gVisor и Kata Containers дают дополнительный уровень изоляции.