Namespace主要是通过CLONE_FLAG实现资源隔离。其实无论是Docker还是其它容器，它底层的隔离实现是内核早就有的功能。在内核中，通过ns_proxy实现。