Docker是一種跨平臺、輕量級的虛擬化技術，它的最大優點就是可以實現應用程序與宿主機完全隔離，保證了應用程序的運行安全性。

而宿主機隔離主要是通過Docker容器技術與Linux內核的一些特性來實現的。

例如，Docker容器在運行時，會利用cgroup將容器中的進程隔離出來，保證容器內的進程只能使用容器內指定的資源，而不能使用整個宿主機上的資源。同時，容器內的進程也只能看到容器內的文件系統，不能訪問宿主機的文件系統。

此外，Docker還會利用命名空間（namespace）技術來隔離宿主機與容器內的網絡和其他系統資源。比如，在網絡隔離方面，Docker會利用net namespace來隔離網絡棧，每個容器都有自己的IP地址和網絡接口；在時間隔離方面，Docker會利用pid namespace來隔離進程樹，保證容器內的進程只能看到自己的進程樹，不會干擾到宿主機上的進程樹。

總的來說，Docker提供了多種隔離機制，以保證應用程序與宿主機之間的隔離，從而提高了應用程序的安全性和穩定性。但同時，也需要注意合理配置容器的資源配額，避免資源爭用導致應用程序出現問題。