Namespaces/Cgroups/CoW

Docker est extrémement lié au Kernel.
Le fonctionnement des conteneurs repose sur les namespaces, les cgroups et le CopyOnWrite.
Mais egalement d’autres aspects liés à la sécurité comme les CAPabilities, seccomp,…

Ceux qui nous intéressent aujourd’hui sont les trois premiers : namespaces, cgroups et le CopyOnWrite.

Brièvement, les namespaces permettent l’isolation des processus à différent niveaux (PID, User, Network, Mount)
Les Cgroups permettent l’isolation, la limitation de l’utilisation des ressources (Processeur, Memoire, Utilisation Disque)