Что такое namespaces в Linux и как Docker их использует?

Namespaces — механизм ядра для изоляции ресурсов. Docker создаёт для каждого контейнера отдельные namespaces: pid (своё дерево процессов), net (свой сетевой стек), mnt (своя файловая система), uts (своё hostname), ipc, user. Контейнер видит только свои процессы и файлы. Это не виртуализация — ядро одно, но каждый контейнер думает что он один на машине.