T-4: DockerOrchestrator — lifecycle контейнеров через bollard

[kirich1409]

Описание

Продовая реализация Docker orchestration на основе подтверждённого T-1 PoC. Управление lifecycle: create/start/stop/remove, exec с TTY attach, image pull с прогрессом, per-session network isolation, resource limits.

Module: runner/src/docker.rs

Acceptance Criteria

• create_container → exec_attach → ввод команды → вывод читается
• resize_exec меняет размер PTY внутри контейнера
• stop_container завершает контейнер за <= timeout_secs
• Resource limits (mem_limit, cpus) применяются при создании
• ensure_image не тянет образ повторно если он уже есть локально
• Создание сессии с образом не из allowed_images → ошибка (403 при REST)
• Контейнеры создаются с labels: relay.managed=true, relay.session_id=<id>
• seccomp profile применяется при создании контейнера
• Integration test: full lifecycle без утечки контейнеров после теста

Dependencies

• T-1: Docker exec PTY proxy proof-of-concept через bollard #15 (T-1 PoC подтверждает approach)
• T-2: Добавить DockerConfig, GitConfig, ProfileConfig, data_dir в конфигурацию #16 (T-2 DockerConfig)