【Docker 内核详解】namespace 资源隔离(五):User namespaces【Docker 内核详解 - namespace 资源隔离】系列包含:user namespace 主要隔离了安全相关的 标识符(identifier)和 属性(attribute),包括用户 ID、用户组 ID、root 目录、key(指密钥)以及特殊权限。通俗地讲,一个普通用户的进程通过 clone() 创建的新进程在新 user namespace 中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是它创建的容器进程却属于拥有所有权限的超级用户,这个技术为容器提供了