對比Docker和虛擬機

引言

首先，大家需要明確一點，Docker容器不是虛擬機。
Docker最初的成功秘訣，正是它比虛擬機更節省內存，啟動更快，而且Docker不停地給大家宣傳，”虛擬機需要數分鍾啟動，而Docker容器只需要50毫秒”因此有許多人把它比做一種輕量級的虛擬機，但其實不是。

從結構上來看，容器和虛擬機還是有很大不同的。
左圖的虛擬機的Guest OS層，還有Hypervisor層在Docker上已經被Docker Engine層所取代，在這里我們需要知道，Guest OS 是虛擬機安裝的操作系統，是一個完整的系統內核，另外Hypervisor可以理解為硬件虛擬化平台，它在后Host OS以內核驅動的形式存在。由於vm多了一層Guest OS，所以資源利用率相對docker來說較低一些。
GuestOS：VM（虛擬機）里的的系統（OS）; HostOS：物理機里的系統（OS）；

1.對比Docker和虛擬機的隔離方式

虛擬機

虛擬機實現資源的隔離的方式是利用獨立的Guest OS，以及利用Hypervisor虛擬化CPU、內存、IO等設備來實現的。

Docker

對於虛擬機實現資源和環境隔離的方案，Docker顯然簡單很多。Docker並沒有和虛擬機一樣利用一個獨立的Guest OS執行環境的隔離，它利用的是目前當前Linux內核本身支持的容器方式，實現了資源和環境的隔離。
支撐docker的核心技術有三個：Namespace，Cgroup，UnionFS。Namespace提供了虛擬層面的隔離Namespace提供了虛擬層面的隔離，比如文件隔離，網絡隔離等等。Cgroup提供了物理資源的隔離，比如CPU，內存，磁盤等等。UnionFS給docker鏡像提供了技術支撐。

• 使容器看起來是隔離：namespace（命名空間）。每個命名空間中的應用看到的，都是不同的IP地址，用戶空間，進程ID等。
• 使容器用起來是隔離的技術：cgroup（資源限制），即明明整台機器有很多的CPU，內存，但是一個應用智能使用其中的一部分。
• 除了封裝，還有第三個技術：UnionFS, 提供了鏡像的技術支撐。在封裝好的那一刻，集裝箱里那一刻的狀態都被保存成一系列文件，無論在哪里運行這個鏡像，都能完成的還原但是的情況。

2.整體對比docker和虛擬機

虛擬機

從下到上理解上圖:

• 基礎設施(Infrastructure)。它可以是你的個人電腦，數據中心的服務器，或者是雲主機。
• 虛擬機管理系統(Hypervisor)。利用Hypervisor，可以在主操作系統之上運行多個不同的從操作系統。類型1的Hypervisor有支持MacOS的HyperKit，支持Windows的Hyper-V、Xen以及KVM。類型2的Hypervisor有VirtualBox和VMWare workstation。
• 客戶機操作系統(Guest Operating System)。假設你需要運行3個相互隔離的應用，則需要使用Hypervisor啟動3個客戶機操作系統，也就是3個虛擬機。這些虛擬機都非常大，也許有700MB，這就意味着它們將占用2.1GB的磁盤空間。更糟糕的是，它們還會消耗很多CPU和內存。
• 各種依賴。每一個客戶機操作系統都需要安裝許多依賴。如果你的應用需要連接PostgreSQL的話，則需要安裝ibpq-dev；如果你使用Ruby的話，應該需要安裝gems；如果使用其他編程語言，比如Python或者Node.js，都會需要安裝對應的依賴庫。
• 應用。安裝依賴之后，就可以在各個客戶機操作系統分別運行應用了，這樣各個應用就是相互隔離的。

docker

不難發現，相比於虛擬機，Docker要簡潔很多。因為我們不需要運行一個臃腫的客戶機操作系統了。

從下到上理解上圖:

• 基礎設施(Infrastructure)。
• 主操作系統(Host Operating System)。所有主流的Linux發行版都可以運行Docker。對於MacOS和Windows，也有一些辦法”運行”Docker。
• Docker守護進程(Docker Daemon)。Docker守護進程取代了Hypervisor，它是運行在操作系統之上的后台進程，負責管理Docker容器。
• 各種依賴。對於Docker，應用的所有依賴都打包在Docker鏡像中，Docker容器是基於Docker鏡像創建的。
• 應用。應用的源代碼與它的依賴都打包在Docker鏡像中，不同的應用需要不同的Docker鏡像。不同的應用運行在不同的Docker容器中，它們是相互隔離的。

3.docker和虛擬機優缺點對比

1. Docker有着比虛擬機更少的抽象層。由於Docker不需要Hypervisor實現硬件資源的虛擬化，所以運行在Docker容器上的程序，直接使用的都是實際物理機的硬件資源。因此在cpu、內存、利用率上，Docker將會在效率上具有更大的優勢。
2. 此外，Docker直接利用虛擬機機的系統內核，避免了虛擬機啟動時所需要的系統引導時間和操作系統運行的資源消耗，利用Docker能夠在幾秒鍾之內啟動大量的容器，是虛擬機無法辦到的。（容器的啟動時間是秒級的，大量節約開發、測試、部署的時間。）
3. Docker能夠高效地部署和擴容，Docker容器幾乎可以在任意平台上運行，包括虛擬機、物理機、公有雲、私有雲、個人電腦、服務器等，這種兼容性和輕量性的特性可以輕松的實現負載的動態管理，你可以快速擴容或方便的下線你的應用和服務，這種速度趨近於實時
4. Docker還具有更高的資源利用率，一台主機上可以運行數千個Docker容器，容器除了運行其應用之外，基本不消耗額外的系統資源，使得應用性能高，系統開銷小。而傳統的虛擬機方式則需要運行不同的應用，耗費大量的資源，
5. docker還可以有更簡單的管理使用，Docker只需要小小的修改就可以替代以往大量的更新工作，所有的修改都以增量的方式被分發和更新，從而實現自動化並且高效的管理
6. 容器技術嚴格來說並不是虛擬化，沒有客戶機操作系統，是共享內核的，因為共享內核，容器隔離性也沒有虛擬機那么好。

Docker守護進程可以直接與主操作系統進行通信，為各個Docker容器分配資源；它還可以將容器與主操作系統隔離，並將各個容器互相隔離。虛擬機啟動需要數分鍾，而Docker容器可以在數毫秒內啟動。由於沒有臃腫的操作系統，Docker可以節省大量的磁盤空間以及其他系統資源。

說了這么多Docker的優勢，大家也沒有必要完全否定虛擬機技術，因為兩者有不同的使用場景。虛擬機更擅長於徹底隔離整個運行環境。例如，雲服務提供商通常采用虛擬機技術隔離不同的用戶。而Docker通常用於隔離不同的應用，例如前端，后端以及數據庫。

舉例子說明之間的關系

• 假設一下
  服務器好比運輸碼頭：擁有場地和各種設備（服務器硬件資源）
  服務器虛擬化好比作碼頭上的倉庫：擁有獨立的空間堆放各種貨物或集裝箱(倉庫之間完全獨立，獨立的應用系統和操作系統）
  Docker比作集裝箱：各種貨物的打包(將各種應用程序和他們所依賴的運行環境打包成標准的容器,容器之間隔離)
• docker
  Docker有着小巧、遷移部署快速、運行高效等特點，但隔離性比服務器虛擬化差：不同的集裝箱屬於不同的運單（Docker上運行不同的應用實例），相互獨立（隔離）。但由同一個庫管人員管理（主機操作系統內核），因此通過庫管人員可以看到所有集裝箱的相關信息（因為共享操作系統內核，因此相關信息會共享）。
• 虛擬機
  服務器虛擬化就好比在碼頭上（物理主機及虛擬化層），建立了多個獨立的“小碼頭”—倉庫（虛擬機）。其擁有完全獨立（隔離）的空間，屬於不同的客戶（虛擬機所有者）。每個倉庫有各自的庫管人員（當前虛擬機的操作系統內核），無法管理其它倉庫。不存在信息共享的情況。
• 總結
  因此，我們需要根據不同的應用場景和需求采用不同的方式使用Docker技術或使用服務器虛擬化技術。例如一個典型的Docker應用場景是當主機上的Docker實例屬於單一用戶的情況下，在保證安全的同時可以充分發揮Docker的技術優勢。對於隔離要求較高的環境如混合用戶環境，就可以使用服務器虛擬化技術。

總結圖

服務器虛擬化解決的核心問題是資源調配，而容器解決的核心問題是應用開發、測試和部署。
虛擬機技術通過Hypervisor層抽象底層基礎設施資源，提供相互隔離的虛擬機，通過統一配置、統一管理，計算資源的可運維性，以及資源利用率都能夠得到有效的提升。同時，虛擬機提供客戶機操作系統，客戶機變化不會影響宿主機，能夠提供可控的測試環境，更能夠屏蔽底層硬件甚至基礎軟件的差異性，讓應用做到的廣泛兼容。然而，再牛逼的虛擬化技術，都不可避免地出現計算、IO、網絡性能損失，畢竟多了一層軟件，畢竟要運行一個完整的客戶機操作系統。
容器技術嚴格來說並不是虛擬化，沒有客戶機操作系統，是共享內核的。容器可以視為軟件供應鏈的集裝箱，能夠把應用需要的運行環境、緩存環境、數據庫環境等等封裝起來，以最簡潔的方式支持應用運行，輕裝上陣，當然是性能更佳。Docker鏡像特性則讓這種方式簡單易行。當然，因為共享內核，容器隔離性也沒有虛擬機那么好。
但是，更重要的是，通過Docker的特性，以容器化封裝為基礎，企業就可以很好地實現雲原生（向雲而生的架構），包括大家聽得耳朵都起繭子的微服務架構、DevOps，讓開發團隊可以從苦逼的運維工作中解脫，讓應用快速上線、快速迭代。
虛擬機和容器被大家比較，主要是在於它們都提供隔離環境的相似性，但相似僅此而已，它們各有各的應用場景。

KVM是什么意思？

基於內核的虛擬機 Kernel-based Virtual Machine（KVM）是一種內建於 Linux® 中的開源虛擬化技術。具體而言，KVM 可幫助您將 Linux 轉變為虛擬機監控程序，使主機計算機能夠運行多個隔離的虛擬環境，即虛擬客戶機或虛擬機（VM）。

HYPERVISOR是什么？

hypervisor：一種運行在物理服務器和操作系統之間的中間層軟件，可以允許多個操作系統和應用共享一套基礎物理硬件。可以將hypervisor看做是虛擬環境中的“元”操作系統，可以協調訪問服務器上的所有物理設備和虛擬機，所以又稱為虛擬機監視器（virtual machine monitor簡稱VMM）。hypervisor是所有虛擬化技術的核心，非中斷的支持多工作負載遷移是hypervisor的基本功能。當服務器啟動並執行hypervisor時，會給每一台虛擬機分配適量的內存，cpu，網絡和磁盤資源，並且加載所有虛擬機的客戶操作系統。