Docker 底層的核心技術包括 Linux 上的名字空間（Namespaces）、控制組（Control groups）、Union 文件系統(tǒng)（Union file systems）和容器格式（Container format）。

我們知道，傳統(tǒng)的虛擬機通過在宿主主機中運行 hypervisor 來模擬一整套完整的硬件環(huán)境提供給虛擬機的操作系統(tǒng)。虛擬機系統(tǒng)看到的環(huán)境是可限制的，也是彼此隔離的。 這種直接的做法實現(xiàn)了對資源最完整的封裝，但很多時候往往意味著系統(tǒng)資源的浪費。 例如，以宿主機和虛擬機系統(tǒng)都為 Linux 系統(tǒng)為例，虛擬機中運行的應用其實可以利用宿主機系統(tǒng)中的運行環(huán)境。

我們知道，在操作系統(tǒng)中，包括內(nèi)核、文件系統(tǒng)、網(wǎng)絡、PID、UID、IPC、內(nèi)存、硬盤、CPU 等等，所有的資源都是應用進程直接共享的。 要想實現(xiàn)虛擬化，除了要實現(xiàn)對內(nèi)存、CPU、網(wǎng)絡IO、硬盤IO、存儲空間等的限制外，還要實現(xiàn)文件系統(tǒng)、網(wǎng)絡、PID、UID、IPC等等的相互隔離。 前者相對容易實現(xiàn)一些，后者則需要宿主機系統(tǒng)的深入支持。

隨著 Linux 系統(tǒng)對于名字空間功能的完善實現(xiàn)，程序員已經(jīng)可以實現(xiàn)上面的所有需求，讓某些進程在彼此隔離的名字空間中運行。大家雖然都共用一個內(nèi)核和某些運行時環(huán)境（例如一些系統(tǒng)命令和系統(tǒng)庫），但是彼此卻看不到，都以為系統(tǒng)中只有自己的存在。這種機制就是容器（Container），利用名字空間來做權限的隔離控制，利用 cgroups 來做資源分配。