Docker与虚拟机有何不同？

有三种不同的设置提供了运行应用程序的堆栈（这将帮助我们认识到容器是什么，以及是什么使它比其他解决方案更强大）：

1) Traditional Servers(bare metal)
2) Virtual machines (VMs)
3) Containers

1）传统的服务器堆栈由运行操作系统和应用程序的物理服务器组成。

优势：

原始资源的利用隔离

缺点：

部署时间非常慢昂贵的浪费的资源难以扩展难以迁移复杂的配置

2） VM堆栈由运行操作系统的物理服务器和管理虚拟机、共享资源和网络接口的管理程序组成。每个Vm运行一个客户操作系统、一个应用程序或一组应用程序。

优势：

善用资源易于扩展易于备份和迁移成本效益灵活性

缺点：

资源分配有问题供应商锁定复杂的配置

3）容器设置与其他堆栈的主要区别是基于容器的虚拟化使用主机操作系统的内核来管理多个孤立的来宾实例。这些来宾实例称为容器。主机可以是物理服务器或VM。

优势：

隔离轻量的资源有效易于迁移安全低开销镜像生产和开发环境

缺点：

相同的体系结构资源密集型应用网络和安全问题。

通过将容器设置与之前的设置进行比较，我们可以得出结论，容器化是迄今为止我们所知的最快、最有效的资源和最安全的设置。容器是运行应用程序的独立实例。Docker以某种方式旋转容器，层使用默认存储驱动程序（Overlay驱动程序）获得运行时内存，这些驱动程序在几秒钟内运行，一旦我们提交到容器中，就会在其上创建写时复制层，从而为容器的执行提供动力。如果是VM，则需要大约一分钟的时间将所有内容加载到虚拟化环境中。这些轻量级实例可以很容易地替换、重建和移动。这使我们能够镜像生产和开发环境，并在CI/CD过程中提供了巨大的帮助。容器所能提供的优势是如此引人注目，它们肯定会继续存在。

2017-02-12 16:47:06

我喜欢肯·科克伦的回答。

但我想补充一点观点，这里没有详细介绍。在我看来，Docker在整个过程中也有所不同。与虚拟机不同，Docker不仅仅是硬件的最佳资源共享，而且它还为打包应用程序提供了一个“系统”（作为一组微服务是可取的，但不是必须的）。

对我来说，它正好填补了面向开发人员的工具（如rpm、Debian包、Maven、npm+Git）与操作工具（如Puppet、VMware、Xen）之间的差距，你可以这么说。。。

为什么将软件部署到docker映像（如果这是正确的术语）比简单地部署到一致的生产环境更容易？

您的问题假定了某种一致的生产环境。但如何保持一致？考虑一些数量（>10）的服务器和应用程序，这是管道中的阶段。

为了保持同步，您将开始使用类似木偶、厨师或您自己的供应脚本、未发布的规则和/或大量文档。。。理论上，服务器可以无限期运行，并保持完全一致和最新。实践无法完全管理服务器的配置，因此存在很大的配置漂移和运行服务器的意外更改空间。

因此，有一种已知的模式可以避免这种情况，即所谓的不可变服务器。但不可变的服务器模式并不受欢迎。主要是因为Docker之前使用的VM的限制。处理几个千兆字节的大图像，移动这些大图像，只是为了改变应用程序中的一些字段，这是非常费力的。可以理解。。。

有了Docker生态系统，你永远不需要在“小改动”上移动千兆字节（感谢aufs和Registry），也不必担心在运行时将应用程序打包到Docker容器中会导致性能下降。您不必担心该图像的版本。

最后，即使在您的Linux笔记本电脑上，您也可以经常复制复杂的生产环境（如果在您的情况下不起作用，请不要打电话给我；）

当然，您可以在VM中启动Docker容器（这是一个好主意）。减少VM级别的服务器资源调配。所有这些都可以由Docker管理。

同时Docker使用自己的实现“libcontainer”而不是LXC。但LXC仍然可用。

2014-09-19 16:21:40

我在生产环境和登台中使用过Docker。当你习惯了它，你会发现它对于构建一个多容器和隔离环境非常强大。

Docker是基于LXC（Linux容器）开发的，在许多Linux发行版中都能完美运行，尤其是Ubuntu。

Docker容器是隔离的环境。当您在Docker容器中发出top命令时，可以看到它，Docker容器是从Docker映像创建的。

此外，由于dockerFile配置，它们非常轻便和灵活。

例如，您可以创建一个Docker映像并配置一个DockerFile，然后告诉它，例如，当它运行时，运行wget“this”，apt-get“that”，运行“some shell script”，设置环境变量等等。

在微服务项目和架构中，Docker是一项非常可行的资产。您可以通过Docker、Docker swarm、Kubernetes和Docker Compose实现可伸缩性、弹性和弹性。

Docker的另一个重要问题是Docker Hub及其社区。例如，我使用Prometheus、Grafana、PrometheusJMXExporter和Docker实现了一个用于监控kafka的生态系统。

为此，我为zookeeper、kafka、Prometheus、Grafana和jmx收集器下载了已配置的Docker容器，然后使用YAML文件为其中一些容器安装了自己的配置，我更改了Docker容器中的一些文件和配置，并在一台机器上使用多容器Docker构建了一个用于监控kafka的完整系统，该系统具有隔离性、可扩展性和弹性，该架构可以轻松移动到多个服务器中。

除了Docker Hub站点之外，还有一个名为quay.io的站点，您可以使用它在那里创建自己的Docker图像仪表板，并将其推送到码头。您甚至可以将Docker图像从DockerHub导入码头，然后在自己的机器上从码头运行。

注意：学习Docker一开始看起来既复杂又困难，但当你习惯了它之后，你就不能没有它了。

我记得在使用Docker的第一天，我发出了错误的命令，或者错误地删除了我的容器和所有数据和配置。

2017-05-22 15:45:43

资料来源：Kubernetes in Action。

2018-07-16 02:56:46

了解虚拟化和容器如何在低级别上工作可能会有所帮助。这将澄清很多事情。

注意：我在下面的描述中简化了一点。有关详细信息，请参阅参考文献。

虚拟化如何在低级别工作？

在这种情况下，VM管理器接管CPU环0（或较新CPU中的“根模式”），并拦截来宾操作系统发出的所有特权调用，以产生来宾操作系统拥有自己硬件的错觉。有趣的事实：在1998年之前，人们认为在x86架构上实现这一点是不可能的，因为没有办法进行这种拦截。VMware的员工是第一个有想法重写内存中的可执行字节以供来宾操作系统的特权调用来实现这一点的人。

其净效果是虚拟化允许您在同一硬件上运行两个完全不同的操作系统。每个来宾操作系统都要经过引导、加载内核等所有过程。例如，来宾操作系统无法完全访问主机操作系统或其他来宾操作系统，从而造成混乱。

容器如何在低液位下工作？

2006年左右，包括谷歌员工在内的一些人实现了一个名为名称空间的新内核级功能（然而，这个想法早就存在于FreeBSD中）。操作系统的一个功能是允许在进程之间共享网络和磁盘等全局资源。如果这些全局资源被包装在命名空间中，以便它们只对在同一命名空间中运行的那些进程可见，该怎么办？例如，您可以获取一块磁盘并将其放在命名空间X中，然后在命名空间Y中运行的进程无法看到或访问它。同样，命名空间X中的进程无法访问分配给命名空间Y的内存中的任何内容。当然，X中的程序无法看到或与命名空间Y中的进程对话。这为全局资源提供了一种虚拟化和隔离。Docker是这样工作的：每个容器都在自己的命名空间中运行，但使用与所有其他容器完全相同的内核。之所以发生隔离，是因为内核知道分配给进程的命名空间，并且在API调用期间，它确保进程只能访问自己命名空间中的资源。

容器与虚拟机的局限性现在应该很明显：你不能像虚拟机那样在容器中运行完全不同的操作系统。但是，您可以运行不同的Linux发行版，因为它们共享相同的内核。隔离级别不如VM中的隔离级别强。事实上，在早期的实现中，“来宾”容器可以接管主机。您还可以看到，当您加载一个新容器时，OS的整个新副本并不像在VM中那样启动。所有容器共享同一内核。这就是为什么集装箱重量轻。与VM不同的是，您不必为容器预先分配大量内存，因为我们没有运行新的OS副本。这允许在一个操作系统上运行数千个容器，同时对它们进行装箱，如果我们在它们自己的VM中运行操作系统的单独副本，这可能是不可能的。

2016-01-13 01:49:50