A a arquitetura de contêineres em Linux supera as limitações de segurança do compartilhamento de kernel ao implementar namespaces de usuário (User Namespaces) que mapeiam o usuário root do contêiner para um usuário não privilegiado no host, garantindo um isolamento de falhas e de superfície de ataque idêntico ao proporcionado pelas instruções de virtualização assistida por hardware (VT-x/AMD-V) das máquinas virtuais;
B o monitor de máquinas virtuais (VMM), nos hipervisores do Tipo 1 (Bare Metal), opera em um modo de alto privilégio da CPU (como o VMX root mode), enquanto os sistemas operacionais convidados executam em um modo desprivilegiado, o que obriga a ocorrência de uma troca de contexto (VM Exit) sempre que o convidado tenta executar instruções sensíveis que alteram o estado global do sistema;
C os hipervisores do Tipo 2 diferenciam-se dos do Tipo 1 principalmente pela capacidade de delegar a gestão de memória e o escalonamento de CPU diretamente ao hardware através de passthrough, sem a necessidade de intervenção do sistema operacional hospedeiro, o que elimina o overhead de tradução de endereços de memória característico das soluções Bare Metal;
D a paravirtualização é uma técnica de otimização em que o hipervisor apresenta ao sistema operacional convidado uma cópia idêntica e não modificada do hardware subjacente, exigindo que o hipervisor intercepte e emule, via software, todas as instruções privilegiadas, independentemente do suporte de hardware para virtualização;
E os contêineres, diferentemente das máquinas virtuais, que virtualizam o hardware para criar ambientes isolados, realizam a virtualização no nível da aplicação através da duplicação da camada de kernel do sistema operacional hospedeiro para cada instância, permitindo que cada contêiner carregue seus próprios módulos de kernel e drivers de dispositivo.