通过这篇文章，我们将描绘虚拟机和LXC之间的一些区别。让我们先定义它们。

VM:

虚拟机模拟物理计算环境，但对CPU、内存、硬盘、网络和其他硬件资源的请求由虚拟化层管理，虚拟化层将这些请求转换为底层物理硬件。

在此上下文中，VM称为来宾，而其运行的环境称为主机。

LXC：

Linux容器（LXC）是操作系统级的功能，可以在一个控制主机（LXC主机）上运行多个独立的Linux容器。Linux容器是VM的轻量级替代品，因为它们不需要虚拟机管理程序，即Virtualbox、KVM、Xen等。

现在，除非你被艾伦（Zach Galifianakis，来自《宿醉》系列）麻醉，并在拉斯维加斯呆了一年，否则你会非常清楚Linux容器技术的巨大兴趣，如果我具体说一下，在过去几个月里在世界各地引起轰动的一个容器项目是Docker，它引发了一些回响，认为云计算环境应该放弃虚拟机（VM），并将其替换为容器，因为它们的开销更低，性能可能更好。

但最大的问题是，它可行吗？，这明智吗？

a.LXC的作用域是Linux的一个实例。它可能是不同风格的Linux（例如CentOS主机上的Ubuntu容器，但它仍然是Linux。）类似地，如果我们查看VM，基于Windows的容器现在被限定为Windows的一个实例，它们的范围非常广，并且使用管理程序，您不限于操作系统Linux或Windows。

b.与虚拟机相比，LXC开销低，性能更好。基于LXC技术构建的工具，即Docker，为开发人员提供了运行应用程序的平台，同时也为运营人员提供了一个工具，允许他们在生产服务器或数据中心上部署相同的容器。它试图让运行应用程序、启动和测试应用程序的开发人员与部署该应用程序的操作人员之间的体验无缝衔接，因为这是所有摩擦的所在，DevOps的目的是打破这些孤岛。

因此，最好的方法是云基础设施提供商应该提倡适当使用VM和LXC，因为它们都适合处理特定的工作负载和场景。

到目前为止，放弃虚拟机并不现实。因此，VM和LXC都有各自的存在和重要性。

他们都很不同。Docker是轻量级的，使用LXC/libcontainer（它依赖于内核命名空间和cgroups），并且没有机器/硬件仿真，如管理程序、KVM。Xen，它们很重。

Docker和LXC更多地用于沙箱、容器化和资源隔离。它使用主机操作系统（目前只有Linux内核）的克隆API，为IPC、NS（装载）、网络、PID、UTS等提供命名空间。

内存、I/O、CPU等呢。？这是使用cgroups来控制的，在cgroups中，您可以创建具有特定资源（CPU、内存等）规范/限制的组，并将进程放入其中。在LXC之上，Docker提供了一个存储后端(http://www.projectatomic.io/docs/filesystems/)例如，联合安装文件系统，您可以在不同的安装名称空间之间添加层和共享层。

这是一个强大的功能，其中基本映像通常是只读的，只有当容器修改层中的某些内容时，才会将某些内容写入读写分区（也称为写时复制）。它还提供了许多其他包装，如图像的注册和版本控制。

对于普通的LXC，您需要附带一些rootfs或共享rootfs，当共享时，这些更改会反映在其他容器上。由于这些新增功能，Docker比LXC更受欢迎。LXC在嵌入式环境中很受欢迎，用于围绕暴露于外部实体（如网络和UI）的进程实现安全性。Docker在需要一致生产环境的云多租户环境中非常流行。

一个普通的虚拟机（例如VirtualBox和VMware）使用一个虚拟机管理程序，相关技术要么有专用的固件，成为第一个操作系统（主机操作系统或客户操作系统0）的第一层，要么有一个在主机操作系统上运行的软件，为客户操作系统提供硬件仿真，如CPU、USB/附件、内存、网络等。截至2015年，VM在高安全性多租户环境中仍然很受欢迎。

Docker/LXC几乎可以在任何便宜的硬件上运行（只要你有更新的内核，少于1 GB的内存也可以），而正常的VM需要至少2 GB的内存等，才能使用它进行任何有意义的操作。但主机操作系统上的Docker支持在Windows（截至2014年11月）等操作系统中不可用，在Windows、Linux和Mac上可以运行各种类型的VM。

这是docker/rightscale的照片：

1.重量轻

这可能是许多码头工人学习者的第一印象。

首先，docker映像通常比VM映像小，因此易于构建、复制和共享。

第二，Docker容器可以在几毫秒内启动，而VM可以在几秒钟内启动。

2.分层文件系统

这是Docker的另一个关键特性。图像具有图层，不同的图像可以共享图层，从而更节省空间，构建速度更快。

如果所有容器都使用Ubuntu作为它们的基本映像，那么不是每个映像都有自己的文件系统，而是共享相同的下划线Ubuntu文件，并且只在它们自己的应用程序数据上有所不同。

3.共享OS内核

将容器视为进程！

在主机上运行的所有容器实际上都是一堆具有不同文件系统的进程。它们共享相同的OS内核，只封装系统库和依赖项。

这在大多数情况下都很好（没有额外的OS内核维护），但如果容器之间需要严格隔离，则可能会出现问题。

为什么重要？

所有这些似乎都是进步，而不是革命。好吧，数量的积累导致质量的转变。

考虑应用程序部署。如果我们想部署一个新的软件（服务）或升级一个，最好是更改配置文件和进程，而不是创建一个新VM。因为创建一个具有更新服务的VM，测试它（开发人员和QA之间共享），部署到生产需要几个小时，甚至几天。如果出了什么问题，你必须重新开始，浪费更多的时间。因此，使用配置管理工具（木偶、盐堆、厨师等）安装新软件，最好下载新文件。

说到docker，不可能使用新创建的docker容器来替换旧容器。维护更容易！构建一个新映像，与QA共享，测试，部署它只需要几分钟（如果一切都是自动化的），最坏的情况下需要几个小时。这被称为不可变基础设施：不要维护（升级）软件，而是创建一个新的。

它改变了服务的交付方式。我们需要应用程序，但必须维护VM（这是一个难题，与我们的应用程序无关）。Docker让你专注于应用程序，让一切变得流畅。

这里的大多数答案都涉及虚拟机。我将给你一个简单的回答，这个问题在过去几年中对我的帮助最大。是这样的：

Docker只是运行进程的一种奇特方式，而不是虚拟机。

现在，让我再解释一下这意味着什么。虚拟机是它们自己的野兽。我觉得解释Docker是什么比解释虚拟机更能帮助你理解这一点。特别是因为这里有很多很好的答案，告诉你某人说“虚拟机”的确切含义。所以

Docker容器只是一个进程（及其子进程），它使用主机系统内核内的cgroups与其他进程进行划分。通过在主机上运行ps aux，您实际上可以看到Docker容器进程。例如，“在容器中”启动apache2只是将apache2作为主机上的一个特殊进程启动。它只是与机器上的其他过程分开了。需要注意的是，容器不存在于容器化流程的生命周期之外。当你的进程失效时，你的容器也会失效。这是因为Docker将容器中的pid 1替换为应用程序（pid 1通常是init系统）。关于pid 1的最后一点非常重要。

就每个容器进程所使用的文件系统而言，Docker使用UnionFS支持的映像，这是您在Docker拉ubuntu时下载的映像。每个“图像”只是一系列层和相关元数据。分层的概念在这里非常重要。每一层都只是其下一层的变化。例如，当你在构建Docker容器时删除Dockerfile中的一个文件时，你实际上只是在最后一层的上面创建一个层，上面写着“该文件已被删除”。顺便说一句，这就是为什么您可以从文件系统中删除一个大文件，但映像仍然占用相同的磁盘空间。文件仍然存在，在当前文件下面的层中。层本身只是文件的tarball。您可以使用docker save--output/tmp/ubuntu.tar-ubuntu和cd/tmp&&tar-xvf-ubuntu.tar来测试这一点。然后您可以四处看看。所有看起来像长散列的目录实际上都是单独的层。每一个都包含文件（layer.tar）和元数据（json）以及有关该特定层的信息。这些层只是描述文件系统的更改，这些更改保存为“在”原始状态之上的层。当读取“当前”数据时，文件系统读取数据时，就像只查看最顶层的更改一样。这就是为什么文件看起来被删除了，尽管它仍然存在于“先前”层中，因为文件系统只查看最顶层。这允许完全不同的容器共享其文件系统层，即使每个容器中最顶层的文件系统可能发生了一些重大变化。当容器共享其基本图像层时，这可以节省大量磁盘空间。但是，当您通过卷将目录和文件从主机系统装载到容器中时，这些卷会“绕过”UnionFS，因此更改不会存储在层中。

Docker中的网络是通过使用以太网桥（主机上称为docker0）和主机上每个容器的虚拟接口实现的。它在docker0中创建一个虚拟子网，用于容器之间的通信。这里有许多联网选项，包括为容器创建自定义子网，以及“共享”主机的网络堆栈以供容器直接访问的功能。

Docker进展很快。它的文档是我见过的最好的文档之一。它通常写得很好，简洁准确。我建议您查看可用的文档以获取更多信息，并将文档置于在线阅读的任何其他内容之上，包括堆栈溢出。如果你有具体的问题，我强烈建议加入Freenode IRC上的#docker并在那里提问（你甚至可以使用Freenode的网络聊天！）。

有三种不同的设置提供了运行应用程序的堆栈（这将帮助我们认识到容器是什么，以及是什么使它比其他解决方案更强大）：

1) Traditional Servers(bare metal)
2) Virtual machines (VMs)
3) Containers

1） 传统的服务器堆栈由运行操作系统和应用程序的物理服务器组成。

优势：

原始资源的利用隔离

缺点：

部署时间非常慢昂贵的浪费的资源难以扩展难以迁移复杂的配置

2） VM堆栈由运行操作系统的物理服务器和管理虚拟机、共享资源和网络接口的管理程序组成。每个Vm运行一个客户操作系统、一个应用程序或一组应用程序。

优势：

善用资源易于扩展易于备份和迁移成本效益灵活性

缺点：

资源分配有问题供应商锁定复杂的配置

3） 容器设置与其他堆栈的主要区别是基于容器的虚拟化使用主机操作系统的内核来管理多个孤立的来宾实例。这些来宾实例称为容器。主机可以是物理服务器或VM。

优势：

隔离轻量的资源有效易于迁移安全低开销镜像生产和开发环境

缺点：

相同的体系结构资源密集型应用网络和安全问题。

通过将容器设置与之前的设置进行比较，我们可以得出结论，容器化是迄今为止我们所知的最快、最有效的资源和最安全的设置。容器是运行应用程序的独立实例。Docker以某种方式旋转容器，层使用默认存储驱动程序（Overlay驱动程序）获得运行时内存，这些驱动程序在几秒钟内运行，一旦我们提交到容器中，就会在其上创建写时复制层，从而为容器的执行提供动力。如果是VM，则需要大约一分钟的时间将所有内容加载到虚拟化环境中。这些轻量级实例可以很容易地替换、重建和移动。这使我们能够镜像生产和开发环境，并在CI/CD过程中提供了巨大的帮助。容器所能提供的优势是如此引人注目，它们肯定会继续存在。

docker文档（和自我解释）区分了“虚拟机”和“容器”。他们倾向于以一种不寻常的方式解释和使用事物。他们可以做到这一点，因为这取决于他们自己，他们在文档中写了什么，而且虚拟化的术语还没有真正准确。

事实是Docker文档对“容器”的理解，实际上是半虚拟化（有时是“OS级虚拟化”），而硬件虚拟化则相反，Docker不是。

Docker是一个低质量的虚拟化解决方案。容器与VM的区别是由docker开发人员发明的，以解释其产品的严重缺点。

它之所以如此流行，是因为他们“把火给了普通人”，也就是说，它使Win10工作站上典型的服务器（=Linux）环境/软件产品的简单使用成为可能。这也是我们容忍他们细微差别的原因。但这并不意味着我们也应该相信它。

Windows主机上的docker在HyperV中使用了嵌入式Linux，并且其容器已经在其中运行，这一事实使情况变得更加混乱。因此，Windows上的docker使用了硬件和半虚拟化相结合的解决方案。

简而言之，Docker容器是低质量（准）虚拟机，具有巨大的优势和许多缺点。