Docker与虚拟机有何不同？

Docker最初使用linux容器（LXC），但后来切换到runC（以前称为lib容器），它与其主机在同一操作系统中运行。这允许它共享大量主机操作系统资源。此外，它使用分层文件系统（AuFS）并管理网络。

AuFS是一个分层的文件系统，因此您可以将只读部分和写入部分合并在一起。可以将操作系统的公共部分设置为只读（并在所有容器之间共享），然后为每个容器提供自己的写入挂载。

所以，假设你有一个1 GB的容器映像；如果你想使用完整的虚拟机，你需要1 GB x你想要的虚拟机数量。使用Docker和AuFS，你可以在所有容器之间共享1 GB的大部分，如果你有1000个容器，你仍然可能只有超过1 GB的容器操作系统空间（假设它们都运行相同的操作系统映像）。

一个完整的虚拟化系统有自己的一组资源分配给它，并进行最小的共享。你得到了更多的隔离，但它要重得多（需要更多的资源）。使用Docker，你得到的隔离更少，但容器是轻量级的（需要更少的资源）。所以你可以轻松地在主机上运行数千个容器，它甚至不会闪烁。试着用Xen做到这一点，除非你有一个非常大的主机，否则我认为这是不可能的。

一个完整的虚拟化系统通常需要几分钟才能启动，而Docker/LXC/runC容器需要几秒钟，通常甚至不到一秒。

每种类型的虚拟化系统都有优点和缺点。如果你想在保证资源的情况下完全隔离，那么完整的虚拟机就是要走的路。如果你只是想将进程相互隔离，并想在合理大小的主机上运行大量进程，那么Docker/LXC/runC似乎是要走的路。

有关更多信息，请查看这组博客文章，它很好地解释了LXC的工作原理。

为什么将软件部署到docker映像（如果这是正确的术语）比简单地部署到一致的正式生产环境更容易？

部署一个一致的正式生产环境说起来容易做起来难。即使你使用像厨师和木偶这样的工具，主机和环境之间总是会有操作系统更新和其他变化。

Docker使您能够将操作系统快照到共享映像中，并使其易于部署在其他Docker主机上。本地、dev、qa、prod等：都是相同的映像。当然，您可以使用其他工具做到这一点，但不是那么容易或快速。

这对于测试非常有用；假设你有数千个测试需要连接到数据库，每个测试都需要一个数据库的原始副本，并将对数据进行更改。经典的方法是在每次测试后使用自定义代码或Flyway等工具重置数据库——这可能非常耗时，并且意味着测试必须串行运行。但是，使用Docker，你可以创建一个数据库映像，并在每次测试中运行一个实例，然后并行运行所有测试，因为你知道它们都将针对相同的数据库快照运行。由于测试是并行运行的，并且在Docker容器中运行，因此它们可以同时在同一个盒子上运行，并且应该更快地完成。尝试使用完整的VM执行此操作。

从评论…

有趣！我想我仍然对“快照操作系统”的概念感到困惑。在没有制作操作系统图像的情况下，如何做到这一点？

好吧，让我们看看我是否可以解释。你从一个基础映像开始，然后进行更改，并使用docker提交这些更改，它会创建一个映像。这个映像只包含与基础的差异。当你想运行你的映像时，你也需要基础，它使用分层文件系统将你的映像分层在基础之上：如上所述，Docker使用AuFS。AuFS将不同的层合并在一起，你得到你想要的；你只需要运行它。你可以继续添加越来越多的图像（层），它将继续只保存差异。由于Docker通常构建在注册表的现成映像之上，因此您很少需要自己“快照”整个操作系统。

通过这篇文章，我们将绘制VM和LXC之间的一些区别。让我们首先定义它们。

虚拟机：

虚拟机模拟物理计算环境，但对CPU、内存、硬盘、网络和其他硬件资源的请求由虚拟化层管理，虚拟化层将这些请求转换为底层物理硬件。

在这种情况下，VM被称为来宾，而它运行的环境被称为主机。

LXC：

Linux容器（LXC）是操作系统级功能，可以在一个控制主机（LXC主机）上运行多个独立的Linux容器。Linux容器是VM的轻量级替代方案，因为它们不需要虚拟机管理程序，即Virtualbox、KVM、Xen等。

现在，除非你被Alan（Zach Galifianakis-来自宿醉系列）下药并且已经在拉斯维加斯呆了一年，否则你会非常清楚对Linux容器技术的巨大兴趣，如果我具体地说，在过去几个月里在世界各地引起轰动的一个容器项目是Docker，导致一些呼应的观点，即云计算环境应该放弃虚拟机（VM）并用容器取代它们，因为它们的开销更低，性能可能更好。

但最大的问题是，这可行吗？这是明智的吗？

答：LXC的作用域是Linux的实例。它可能是不同风格的Linux（例如CentOS主机上的Ubuntu容器，但它仍然Linux。）类似地，基于Windows的容器现在的作用域是Windows的实例，如果我们看一下虚拟机，它们的作用域更广，使用虚拟机管理程序，你不仅限于操作系统Linux或Windows。

基于LXC技术构建的Docker工具为开发人员提供了运行应用的平台，同时为运营人员提供了工具，允许他们在生产服务器或数据中心部署相同的容器。它试图让运行应用、启动和测试应用的开发人员和部署应用的运营人员之间的体验无缝连接，因为这是所有摩擦的根源，运营模式的目的是打破这些孤岛。

因此，最好的方法是云基础设施提供商应倡导适当使用VM和LXC，因为它们都适合处理特定的工作负载和场景。

现在放弃虚拟机是不现实的。所以VM和LXC都有自己的个体存在和重要性。

Docker封装一个应用程序及其所有依赖项。

虚拟化器封装了一个操作系统，该操作系统可以运行它通常可以在裸机上运行的任何应用程序。

我喜欢Ken Cochrane的回答

但我想补充一点观点，这里没有详细介绍。在我看来，Docker在整个过程中也有所不同。与虚拟机相比，Docker不仅（仅）关注硬件的最佳资源共享，而且它提供了一个打包应用程序的“系统”（作为一组微服务，最好但不是必须的）。

对我来说，它适合面向开发人员的工具之间的差距，比如rpm、debian包、Maven、npm+Git，以及木偶、威睿、Xen等运维工具。

为什么将软件部署到docker映像（如果这是正确的术语）比简单地部署到一致的正式生产环境更容易？

你的问题假设一些一致的正式生产环境。但是如何保持一致呢？考虑一些数量（>10）的服务器和应用程序，管道中的阶段。

为了保持同步，您将开始使用Puppet、厨师或您自己的配置脚本、未发布的规则和/或大量留档……理论上，服务器可以无限期运行，并保持完全一致和最新。实践无法完全管理服务器的配置，因此配置漂移和运行服务器的意外更改的空间很大。

所以有一种已知的模式可以避免这种情况，即所谓的不可变的服务器。但是不可变的服务器模式不受欢迎。主要是因为Docker之前使用的虚拟机的限制。处理几千兆字节的大图像，移动这些大图像，只是为了更改应用程序中的一些字段，是非常非常费力的。可以理解…

有了Docker生态系统，你永远不需要在“小改动”上移动千兆字节（感谢aufs和注册表），你也不需要担心在运行时将应用程序打包到Docker容器中会导致性能下降。你不需要担心该映像的版本。

最后，您甚至可以经常在Linux笔记本电脑上重现复杂的生产环境（如果在您的情况下不起作用，请不要打电话给我；））

当然，您可以在VM中启动Docker容器（这是一个好主意）。在VM级别减少您的服务器配置。以上所有内容都可以由Docker管理。

P. S.同时Docker使用自己的实现“lib容器”而不是LXC。但LXC仍然可用。

它们都非常不同。Docker是轻量级的，使用LXC/lib容器（依赖于内核命名空间和cgroup），并且没有机器/硬件仿真，例如管理程序、KVM。Xen是沉重的。

Docker和LXC更多地用于沙盒、容器化和资源隔离。它使用主机操作系统（目前只有Linux内核）的克隆API，为IPC、NS（挂载）、网络、PID、UTS等提供命名空间。

内存、I/O、CPU等呢？这是使用cgroup控制的，你可以在其中创建具有特定资源（CPU、内存等）规范/限制的组，并将你的进程放在那里。在LXC之上，Docker提供了一个存储后端（http://www.projectatomic.io/docs/filesystems/），例如，联合挂载文件系统，你可以在其中添加图层并在不同挂载命名空间之间共享图层。

这是一个强大的功能，其中基本映像通常是只读的，只有当容器修改图层中的某些内容时，它才会将某些内容写入读写分区（又名写入时复制）。它还提供了许多其他包装器，例如注册表和映像版本控制。

使用普通的LXC，你需要附带一些rootfs或共享rootfs，当共享时，这些变化会反映在其他容器上。由于许多这些附加功能，Docker比LXC更受欢迎。LXC在嵌入式环境中很受欢迎，用于实现暴露于外部实体（如网络和UI）的进程的安全性。Docker在云多租户环境中很受欢迎，在那里需要一致的正式生产环境。

普通的虚拟机（例如，VirtualBox和威睿）使用虚拟机管理程序，相关技术要么具有成为第一个操作系统（主机操作系统或来宾操作系统0）的第一层的专用固件，要么具有在主机操作系统上运行的软件，以向来宾操作系统提供CPU、USB/配件、内存、网络等硬件仿真。虚拟机仍然（截至2015年）在高安全性多租户环境中流行。

Docker/LXC几乎可以在任何便宜的硬件上运行（只要你有更新的内核，不到1 GB的内存也可以），而普通虚拟机需要至少2 GB的内存等，才能用它做任何有意义的事情。但是主机操作系统上的Docker支持在Windows等操作系统中不可用（截至2014年11月），在Windows、Linux和Mac上可以运行各种类型的虚拟机。

这是来自docker/rightsize的图片：

很好的答案。只是为了获得容器与虚拟机的图像表示，看看下面的一个。

来源

了解虚拟化和容器在低级别上的工作方式可能会有所帮助。这将澄清很多事情。

注意：我在下面的描述中简化了一点。有关更多信息，请参阅参考文献。

虚拟化如何在低级别工作？

在这种情况下，VM管理器接管CPU环0（或较新的CPU中的“根模式”）并拦截来宾操作系统发出的所有特权调用，以制造来宾操作系统拥有自己硬件的错觉。有趣的事实：1998年之前，人们认为在x86架构上不可能实现这一点，因为没有办法进行这种拦截。威睿是第一的人有一个想法，即重写内存中的可执行字节以供来宾操作系统的特权调用来实现这一点。

净效果是虚拟化允许您在同一硬件上运行两个完全不同的操作系统。每个来宾操作系统都经历了无融资创业、加载内核等所有过程。您可以拥有非常严格的安全性。例如，来宾操作系统无法完全访问主机操作系统或其他来宾，从而将事情搞砸。

容器如何在低级别上工作？

大约在2006，包括一些Google员工在内的人们实现了一个名为命名空间的新内核级功能（然而在存在于FreeBSD之前是长期的想法）。操作系统的一个功能是允许进程之间共享网络和磁盘等全局资源。如果这些全局资源被包裹在命名空间中，这样它们只对运行在同一命名空间中的进程可见呢？假设，你可以得到一块磁盘并将其放入命名空间X中，然后运行在命名空间Y中的进程无法看到或访问它。类似地，命名空间X中的进程无法访问分配给命名空间Y的内存中的任何东西。当然，X中的进程看不到命名空间Y中的进程，也无法与命名空间Y中的进程通信。这为全局资源提供了一种虚拟化和隔离。这就是Docker的工作原理：每个容器都在自己的命名空间中运行，但与所有其他容器一样完全使用相同内核。发生隔离是因为内核知道分配给进程的命名空间，并且在API调用期间，它确保进程只能访问自己命名空间中的资源。

容器与虚拟机的局限性现在应该很明显：你不能像虚拟机那样在容器中运行完全不同的操作系统。然而，你可以运行不同的Linux发行版，因为它们确实共享相同的内核。隔离级别不如虚拟机那么强。事实上，在早期实现中，有一种“来宾”容器接管主机的方法。此外，你可以看到，当你加载一个新容器时，操作系统的整个新副本不会像在虚拟机中那样启动。所有容器共享相同的内核。这就是容器重量轻的原因。与虚拟机不同的是，您不必为容器预分配大量内存，因为我们没有运行操作系统的新副本。这使得我们可以在一个操作系统上运行数千个容器，同时对它们进行沙箱处理，如果我们在自己的虚拟机中运行操作系统的单独副本，这可能是不可能的。

Docker不是一种虚拟化方法论，它依赖于其他实际实现基于容器的虚拟化或操作系统级虚拟化的工具。为此，Docker最初使用的是LXC驱动程序，然后转移到lib容器，现在更名为runc。Docker主要专注于在应用程序容器内自动化部署应用程序。应用程序容器旨在打包和运行单个服务，而系统容器旨在运行多个进程，如虚拟机。因此，Docker被认为是容器化系统上的容器管理或应用程序部署工具。

为了了解它与其他虚拟化有何不同，让我们介绍一下虚拟化及其类型。然后，更容易理解那里的区别。

虚拟化

在其构想形式中，它被认为是一种在逻辑上划分大型机以允许多个应用程序同时运行的方法。然而，当公司和开源社区能够提供一种以这种或那种方式处理特权指令的方法并允许多个操作系统在单个基于x86的系统上同时运行时，情况发生了巨大变化。

Hypervisor

虚拟机管理程序负责创建来宾虚拟机运行的虚拟环境。它监督来宾系统，并确保根据需要将资源分配给来宾。虚拟机管理程序位于物理机和虚拟机之间，为虚拟机提供虚拟化服务。为了实现它，它拦截虚拟机上的来宾操作系统操作，并模拟主机操作系统上的操作。

虚拟化技术的快速发展，主要是在云中，通过允许在Xen、威睿Player、KVM等管理程序的帮助下在单个物理服务器上创建多个虚拟服务器，以及在英特尔VT和AMD-V等商品处理器中整合硬件支持，进一步推动了虚拟化的使用。

虚拟化的类型

虚拟化方法可以根据它如何将硬件模拟到客户操作系统并模拟客户操作环境来分类。主要有三种类型的虚拟化：

• 仿真
• 半虚拟化
• 基于容器的虚拟化

仿真

仿真，也称为全虚拟化，完全在软件中运行虚拟机操作系统内核。此类虚拟机中使用的管理程序称为类型2管理程序。它安装在主机操作系统的顶部，负责将来宾操作系统内核代码翻译成软件指令。翻译完全用软件完成，不需要硬件参与。仿真使得运行任何支持被仿真环境的未经修改的操作系统成为可能。与其他类型的虚拟化相比，这种类型虚拟化的缺点是额外的系统资源开销导致性能下降。

此类别中的示例包括威睿Player、VirtualBox、QEMU、Bochs、Parallels等。

半虚拟化

半虚拟化，也称为类型1管理程序，直接在硬件上运行，或“裸机”，并直接向在其上运行的虚拟机提供虚拟化服务。它帮助操作系统、虚拟化硬件和真实硬件协作以实现最佳性能。这些管理程序通常占用空间相当小，本身不需要大量资源。

此类别中的示例包括Xen、KVM等。

基于容器的虚拟化

基于容器的虚拟化，也称为操作系统级虚拟化，可在单个操作系统内核内实现多个隔离执行。它具有最佳的性能和密度，并具有动态资源管理功能。这种类型的虚拟化提供的隔离虚拟执行环境称为容器，可以被视为一组跟踪的进程。

容器的概念是通过添加到内核版本2.6.24Linux命名空间特性实现的。容器将其ID添加到每个进程并为每个系统调用添加新的权限改造检查。它由克隆系统调用访问，允许创建先前全局命名空间的单独实例。

命名空间有多种不同的使用方式，但最常见的方法是创建一个隔离的容器，该容器对容器外部的对象没有可见性或访问权限。容器内运行的进程似乎在正常的Linux系统上运行，尽管它们与位于其他命名空间中的进程共享底层内核，其他类型的对象也是如此。例如，使用命名空间时，容器内的root用户不会被视为容器外部的root用户，从而增加了额外的安全性。

Linux控制组子系统是启用基于容器的虚拟化的下一个主要组件，用于对进程进行分组并管理其聚合资源消耗。它通常用于限制容器的内存和CPU消耗。由于容器化Linux系统只有一个内核，并且内核对容器具有完全可见性，因此只有一个级别的资源分配和调度。

有几种管理工具可用于Linux容器，包括LXC、LXD、system d-nspawn、lmctfy、Warden、Linux-VServer、OpenVZ、Docker等。

容器vs虚拟机

与虚拟机不同，容器不需要引导操作系统内核，因此可以在不到一秒钟的时间内创建容器。此功能使基于容器的虚拟化比其他虚拟化方法独特且可取。

由于基于容器的虚拟化对主机增加很少或没有开销，因此基于容器的虚拟化具有接近原生的性能

与其他虚拟化不同，对于基于容器的虚拟化，不需要额外的软件。

主机上的所有容器共享主机的调度程序，节省了额外资源的需求。

与虚拟机映像相比，容器状态（Docker或LXC映像）的大小较小，因此容器映像易于分发。

容器中的资源管理是通过cgroup来实现的。cgroup不允许容器消耗超过分配给它们的资源。然而，截至目前，主机的所有资源在虚拟机中可见，但无法使用。这可以通过同时在容器和主机上运行top或htop来实现。所有环境的输出看起来相似。

更新时间：

Docker如何在非Linux系统中运行容器？

如果容器是由于Linux内核中可用的功能而成为可能的，那么显而易见的问题是非Linux系统如何运行容器。Docker for Mac和Windows都使用LinuxVM来运行容器。Docker Toolbox曾经在Virtual Box VM中运行容器。但是，最新的Docker在Windows中使用Hyper-V，在Mac中使用Hypervisor.framework。

现在，让我详细描述Docker for Mac如何运行容器。

Docker for Mac使用https://github.com/moby/hyperkit来模拟管理程序功能，Hyperkit在其核心中使用hypervisor.framework。Hypervisor.framework是Mac的原生管理程序解决方案。Hyperkit还使用VPNKit和DataKit分别命名网络和文件系统。

Docker在Mac中运行的LinuxVM是只读的。但是，您可以通过运行以下命令来Bash到它：

screen ~/Library/Containers/com.docker.docker/Data/vms/0/tty

现在，我们甚至可以检查此VM的内核版本：

#uname-aLinuxlinuxkit-0250000000014.9.93-linuxkit-aufs#1 SMP 6月6日星期三16：86_64Linux。