NameSpaces 工具可以对进程进行隔离

宿主机是运行着 Docker 引擎的主机，沙箱即容器，通过 Docker 创建的隔离的空间，独立地运行着各种进程。

通过网桥模式对网络进行隔离：为每一个容器创建一个虚拟网卡

CGroups 工具隔离共享的资源，如 CPU、内存、磁盘 I/O、网络带宽等，而每一容器进行配容，限制其调用共享资源的额度。

Unionfs 将文件系统中相同部分和不同部分分别处理，然后通过联合文件系统将这些文件以叠加的方式挂载起来，构成一个完整的文件系统供不同容器使用，同时节省出大量的磁盘空间。

文件系统中只读层称为镜像，可写层称为容器。

虚拟机方案：对于每个虚拟机都需要一个独立的操作系统 Guest OS

Dock 方案：共享一个系统 Host OS，通过 Docker 引擎为每一个用户分配独立的容器，更节省资源