Docker容器与虚拟机有什么区别 _Docker

文章插图

各种虚拟机技术开启了云计算时代；而Docker，作为下一代虚拟化技术，正在改变我们开发、测试、部署应用的方式。那虚拟机与Docker究竟有何不同呢？
首先，大家需要明确一点，Docker容器不是虚拟机！
第一次接触Docker的时候，我把它比做一种轻量级的虚拟机。这样做无可厚非，因为Docker最初的成功秘诀，正是它比虚拟机更节省内存，启动更快。Docker不停地给大家宣传，"虚拟机需要数分钟启动，而Docker容器只需要50毫秒" 。
然而，Docker容器并非虚拟机！
理解虚拟机
使用虚拟机运行多个相互隔离的应用时，如下图：

文章插图

从下到上理解上图：
基础设施（Infrastructure）。它可以是你的个人电脑，数据中心的服务器，或者是云主机。
主操作系统（Host Operating System）。你的个人电脑之上，运行的可能是macOS，windows或者某个linux发行版。
虚拟机管理系统（Hypervisor）。利用Hypervisor，可以在主操作系统之上运行多个不同的从操作系统。类型1的Hypervisor有支持MacOS的HyperKit，支持Windows的Hyper-V以及支持Linux的KVM 。类型2的Hypervisor有VirtualBox和VMWare 。
从操作系统（Guest Operating System）。假设你需要运行3个相互隔离的应用，则需要使用Hypervisor启动3个从操作系统，也就是3个虚拟机。这些虚拟机都非常大，也许有700MB，这就意味着它们将占用2.1GB的磁盘空间。更糟糕的是，它们还会消耗很多CPU和内存。
各种依赖。每一个从操作系统都需要安装许多依赖。如果你的的应用需要连接PostgreSQL的话，则需要安装libpq-dev；如果你使用Ruby的话，应该需要安装gems；如果使用其他编程语言，比如Python或者Node.js，都会需要安装对应的依赖库。
应用。安装依赖之后，就可以在各个从操作系统分别运行应用了，这样各个应用就是相互隔离的。
理解Docker容器
使用Docker容器运行多个相互隔离的应用时，如下图：

文章插图

主操作系统（Host Operating System）。所有主流的Linux发行版都可以运行Docker 。对于MacOS和Windows，也有一些办法"运行"Docker 。
Docker守护进程（Docker Daemon）。Docker守护进程取代了Hypervisor，它是运行在操作系统之上的后台进程，负责管理Docker容器。
各种依赖。对于Docker，应用的所有依赖都打包在Docker镜像中，Docker容器是基于Docker镜像创建的。
应用。应用的源代码与它的依赖都打包在Docker镜像中，不同的应用需要不同的Docker镜像。不同的应用运行在不同的Docker容器中，它们是相互隔离的。
对比虚拟机与Docker
Docker守护进程可以直接与主操作系统进行通信，为各个Docker容器分配资源；它还可以将容器与主操作系统隔离，并将各个容器互相隔离。虚拟机启动需要数分钟，而Docker容器可以在数毫秒内启动。由于没有臃肿的从操作系统，Docker可以节省大量的磁盘空间以及其他系统资源。
说了这么多Docker的优势，大家也没有必要完全否定虚拟机技术，因为两者有不同的使用场景。
虚拟机更擅长于彻底隔离整个运行环境。例如，云服务提供商通常采用虚拟机技术隔离不同的用户。
Docker通常用于隔离不同的应用，例如前端，后端以及数据库。

文章插图

容器使用由Linux内核提供的命名空间，大多数人把命名空间认为是一个上下文或域的授权决定（进程X有权访问资源Y）。
如果容器内的进程扫描文件系统来寻找要窃取的东西，它只能找到容器内明确可见的文件。
如果容器内的进程中想尝试做一些恶意的事情，比如打开端口31337后门服务，它不会有多大好处，因为这个端口实际上不会暴露在容器外的任何地方。容器内部的恶意进程不能访问的任何容器外的其他进程的内存。
有几个方法可以摆脱容器的束缚，但这些通常需要容器的root访问权限。
不要以root运行应用程序，通过简单的几个步骤稳固root访问权限。
容器使用cgroup来提供与虚拟机相同级别的资源使用保护机制。容器和虚拟机都可以获取整个网络链接。
【Docker容器与虚拟机有什么区别】容器运行的是不完整的操作系统（尽管它们可以），虚拟机必须运行完整的。