这一次，我要用 Docker 部署一个用 Python 编写的 Web 应用。

了解了 Namespace 和 Cgroups 技术后，可以来思考一下：容器内的进程看到的文件系统又是什么样的呢？
很显然，这是有关于 Mount Namespace 的问题：容器里的应用进程，理应看到一份完全独立的文件系统。那么，真实情况是这样吗？

“敏捷”和“高性能”是容器相较于虚拟机最大的优势，也是它能够在 PaaS 这种更细粒度的资源管理平台上大行其道的重要原因。
不过，有利就有弊，基于 Linux Namespace 的隔离机制相比于虚拟化技术也有很多不足之处，其中最主要的问题就是：隔离得不彻底。

容器技术的核心功能，就是通过约束和修改进程的动态表现，从而为其创造出一个“边界”。

极客时间《深入剖析Kubernetes》课程学习笔记 - 预习篇