【阅读笔记】Docker Docker 1.利用chroot和pivotroot对内部文件系统伪造,限制系统访问范围 2.通过namespace隐藏外部系统 3.CGroup(Linux Control Group)控制对资源的使用上限(内存,cpu、磁盘等) 参考:https://www.cnblogs.com/xuanyuan/p/14003524.html