Почему я вижу процессы из docker контейнера на хостмашине?
Есть несколько контейнеров. В них запущены процессы. Разве я должен видеть эти процессы на целевой хост системе? Я их вижу, могу завершить и тогда завершается работа контейнера. Разве контейнеры не изолированы?
Потому что контейнеры докер - это не виртуальные машины. Докер изолирует процессы в контейнерах так, что они (процессы) не могут видеть процессы хост системы и других контейнеров. Делает он это с помощью "Kernel namespaces" & "cgroups" .
Если читаете на английском - вот тут базово расписано https://docs.docker.com/engine/security/security/#...
