Что такое Linux namespaces и cgroups?

Namespaces — механизм изоляции в Linux: каждый namespace отделяет процессы (например, network, PID, mount). Именно благодаря namespaces работают Docker-контейнеры изолированно. cgroups (control groups) — контролируют и ограничивают ресурсы (CPU, память, дисковый ввод-вывод) для групп процессов. Вместе они обеспечивают контейнерную виртуализацию без гипервизора.