namespace in docker

Docker 的 namespace 是一种隔离机制，它为每个 Docker 容器提供了独立的系统视图和资源隔离。
通过 namespace，每个容器看起来就像一个独立的系统，拥有自己的进程、网络、用户、文件系统等。

常见的 namespace：

PID namespace：每个容器都有自己的进程 ID 空间，使得容器内的进程与宿主机上的其他进程隔离。
IPC namespace：隔离进程间通信，每个容器有自己的 IPC 资源，如信号量、消息队列等。
UTS namespace：每个容器有自己的主机名和域名，与宿主机的系统名称隔离。
NET namespace：容器拥有自己的网络接口、IP 地址、路由表等，实现网络隔离。
MOUNT namespace：提供文件系统的隔离，每个容器看到的文件系统是独立的。
USER namespace：每个容器有自己的用户和用户组 ID，与宿主机的用户和组隔离。

这些 namespace 使得多个容器可以在同一台宿主机上运行，而不会相互干扰或访问彼此的资源。这有助于提高系统的安全性、资源管理和可移植性。
当在 Docker 中创建一个容器时，Docker 会为该容器创建一个独立的 namespace，使得容器内的进程无法看到宿主机上其他进程，只能访问自己 namespace 内的资源。
这样可以确保不同容器之间的隔离和安全性。