Как Docker использует cgroups и namespaces?

Docker контейнер — это обычный Linux-процесс, изолированный через namespaces и ограниченный через cgroups. Namespaces дают изоляцию: процесс видит только свои PID, свою сеть, свою файловую систему. Cgroups ограничивают ресурсы: сколько CPU и памяти контейнер может использовать. Плюс overlay filesystem для слоёв образа. Никакой виртуализации — всё работает на одном ядре. Поэтому контейнеры стартуют за миллисекунды, а не за минуты как VM.