Контейнеров не существует? Почему ваш Kernel вас обманывает

Контейнеры и виртуальные машины — и то, и другое дает изоляцию. Так в чем же реальная разница? Контейнер — это не просто «легковесная VM». В этом видео мы заглянем под капот и разберем, что на самом деле происходит, когда вы выполняете docker run и docker exec. Вы увидите, как работают пространства имен (namespaces), контрольные группы (cgroups) и системный вызов setns в действии. Вы узнаете: Как именно PID, mount, network и user namespaces создают иллюзию изоляции. Что такое cgroups и как они ограничивают ресурсы контейнера. Почему Docker Desktop на Mac тормозит при монтировании томов. Как создать контейнер без Docker, используя команду unshare. Что на самом деле делает docker exec под капотом (спойлер: это не магия). Также затронем, почему AWS Lambda использует Firecracker для мультитенантной изоляции и что уязвимость CVE-2019-5736 рассказала нам о (не)безопасности контейнеров. Таймкоды: 0:00 Интригующее начало 0:39 Виртуальные машины 1:55 Контейнеры 4:37 Что из этого следует? 6:47 Доказываем на практике #containers #docker #virtualization #devops #linux #программирование