Namespace 的作用是“隔离”，它让应用进程只能看到该 Namespace 内的“世界”；  
    mount: 文件系统
    
Cgroups 的作用是“限制”，它给这个“世界”围上了一圈看不见的墙