User namespaces
Linuxで、プロセス群に実際とは違うUID、GIDを認識させる機能
コンテナの中ではrootだけど、コンテナ外にアクセスするときはnon-root、というようなことが実現できる
Container Runtime Meetup # 1の資料が分かりやすい
https://www.slideshare.net/AkihiroSuda/container-runtime-meetup-runc-user-namespaces