Для изоляции и управления ресурсами контейнеров активно используется cgroup. Так же для изоляции активно используется Namespace. Все это функционал ядра Linux, поэтому не оказывает сильного влияния на производительность. Однако, нужно быть осторожным при работе с диском и сетью. С сутью больше всего проблем, например при запуске nginx можно получить просадку в 5%.

Обычно docker запускается от root пользователя.

Полезное

  • Утилита для анализа докер образов: Утилита Dive
  • Утилита Hadolint. Проверяет докер файл на плохие практики.
  • xfs более производительный
  • Native Overlay Diff рекомендуют отключать (docker info)
  • Полезные Docker образы