通过这篇文章，我们将描绘虚拟机和LXC之间的一些区别。让我们先定义它们。

VM:

虚拟机模拟物理计算环境，但对CPU、内存、硬盘、网络和其他硬件资源的请求由虚拟化层管理，虚拟化层将这些请求转换为底层物理硬件。

在此上下文中，VM称为来宾，而其运行的环境称为主机。

LXC：

Linux容器（LXC）是操作系统级的功能，可以在一个控制主机（LXC主机）上运行多个独立的Linux容器。Linux容器是VM的轻量级替代品，因为它们不需要虚拟机管理程序，即Virtualbox、KVM、Xen等。

现在，除非你被艾伦（Zach Galifianakis，来自《宿醉》系列）麻醉，并在拉斯维加斯呆了一年，否则你会非常清楚Linux容器技术的巨大兴趣，如果我具体说一下，在过去几个月里在世界各地引起轰动的一个容器项目是Docker，它引发了一些回响，认为云计算环境应该放弃虚拟机（VM），并将其替换为容器，因为它们的开销更低，性能可能更好。

但最大的问题是，它可行吗？，这明智吗？

a.LXC的作用域是Linux的一个实例。它可能是不同风格的Linux（例如CentOS主机上的Ubuntu容器，但它仍然是Linux。）类似地，如果我们查看VM，基于Windows的容器现在被限定为Windows的一个实例，它们的范围非常广，并且使用管理程序，您不限于操作系统Linux或Windows。

b.与虚拟机相比，LXC开销低，性能更好。基于LXC技术构建的工具，即Docker，为开发人员提供了运行应用程序的平台，同时也为运营人员提供了一个工具，允许他们在生产服务器或数据中心上部署相同的容器。它试图让运行应用程序、启动和测试应用程序的开发人员与部署该应用程序的操作人员之间的体验无缝衔接，因为这是所有摩擦的所在，DevOps的目的是打破这些孤岛。

因此，最好的方法是云基础设施提供商应该提倡适当使用VM和LXC，因为它们都适合处理特定的工作负载和场景。

到目前为止，放弃虚拟机并不现实。因此，VM和LXC都有各自的存在和重要性。

Docker不是一种虚拟化方法。它依赖于实际实现基于容器的虚拟化或操作系统级虚拟化的其他工具。为此，Docker最初使用的是LXC驱动程序，然后转移到libcontainer，现在改名为runc。Docker主要致力于自动化应用程序容器内的应用程序部署。应用程序容器设计用于打包和运行单个服务，而系统容器设计用于运行多个进程，如虚拟机。因此，Docker被认为是容器化系统上的容器管理或应用程序部署工具。

为了了解它与其他虚拟化的区别，我们来了解一下虚拟化及其类型。那么，更容易理解两者之间的区别。

虚拟化

在其构想形式中，它被认为是一种逻辑上划分大型机以允许多个应用程序同时运行的方法。然而，当公司和开源社区能够提供一种以某种方式处理特权指令的方法，并允许多个操作系统在一个基于x86的系统上同时运行时，情况发生了巨大变化。

管理程序

管理程序负责创建来宾虚拟机运行的虚拟环境。它监督宾客系统，并确保在必要时为宾客分配资源。管理程序位于物理机和虚拟机之间，并向虚拟机提供虚拟化服务。为了实现它，它拦截虚拟机上的来宾操作系统操作，并模拟主机操作系统上的操作。

虚拟化技术（主要是云技术）的快速发展进一步推动了虚拟化的使用，允许在虚拟机管理程序（如Xen、VMware Player、KVM等）的帮助下，在单个物理服务器上创建多个虚拟服务器，并将硬件支持纳入商品处理器（如Intel VT和AMD-V）。

虚拟化类型

虚拟化方法可以根据其模拟客户操作系统的硬件和模拟客户操作环境的方式进行分类。主要有三种类型的虚拟化：

仿真准虚拟化基于容器的虚拟化

仿真

仿真（也称为完全虚拟化）完全在软件中运行虚拟机OS内核。此类型中使用的管理程序称为类型2管理程序。它安装在主机操作系统的顶部，负责将来宾操作系统内核代码转换为软件指令。翻译完全由软件完成，不需要硬件参与。仿真使运行任何支持被仿真环境的未修改操作系统成为可能。这种虚拟化的缺点是额外的系统资源开销，与其他类型的虚拟化相比，这会导致性能下降。

此类别中的示例包括VMware Player、VirtualBox、QEMU、Bochs、Parallels等。

准虚拟化

准虚拟化（Paravirtualization）也称为第1类虚拟机管理程序，直接在硬件或“裸机”上运行，并直接向其上运行的虚拟机提供虚拟化服务。它帮助操作系统、虚拟化硬件和真实硬件协作以实现最佳性能。这些虚拟机监控程序通常占地面积很小，本身不需要大量资源。

此类别中的示例包括Xen、KVM等。

基于容器的虚拟化

基于容器的虚拟化，也称为操作系统级虚拟化，支持在单个操作系统内核中执行多个独立的执行。它具有最佳的性能和密度，并具有动态资源管理功能。这种类型的虚拟化提供的隔离虚拟执行环境被称为容器，可以被视为一组可跟踪的进程。

通过添加到Linux内核2.6.24版本中的命名空间特性，容器的概念成为可能。容器将其ID添加到每个进程，并将新的访问控制检查添加到每个系统调用。它由clone（）系统调用访问，该系统调用允许创建先前全局命名空间的单独实例。

命名空间可以以多种不同的方式使用，但最常见的方法是创建一个独立的容器，该容器对容器外部的对象没有可见性或访问权限。在容器内运行的进程似乎在正常的Linux系统上运行，尽管它们与位于其他命名空间中的进程共享底层内核，其他类型的对象也是如此。例如，当使用命名空间时，容器内的根用户不会被视为容器外的根用户，从而增加了额外的安全性。

Linux控制组（cgroups）子系统是实现基于容器的虚拟化的下一个主要组件，用于对进程进行分组并管理其总资源消耗。它通常用于限制容器的内存和CPU消耗。由于容器化的Linux系统只有一个内核，并且内核对容器具有完全的可见性，因此只有一个级别的资源分配和调度。

Linux容器有多种管理工具，包括LXC、LXD、systemd nspawn、lmctfy、Warden、Linux VServer、OpenVZ、Docker等。

容器与虚拟机

与虚拟机不同，容器不需要启动操作系统内核，因此可以在不到一秒钟的时间内创建容器。这一特性使基于容器的虚拟化比其他虚拟化方法更为独特和可取。

由于基于容器的虚拟化几乎不会或根本不会增加主机的开销，因此基于容器的虚化具有接近本机的性能

对于基于容器的虚拟化，与其他虚拟化不同，不需要额外的软件。

主机上的所有容器共享主机的调度程序，从而节省了额外的资源。

与虚拟机映像相比，容器状态（Docker或LXC映像）的大小较小，因此容器映像易于分发。

容器中的资源管理是通过cgroups实现的。Cgroups不允许容器消耗比分配给它们的资源更多的资源。然而，到目前为止，主机的所有资源在虚拟机中都是可见的，但无法使用。这可以通过同时在容器和主机上运行top或htop来实现。所有环境的输出看起来都很相似。

更新：

Docker如何在非Linux系统中运行容器？

如果由于Linux内核中的可用特性，容器是可能的，那么显而易见的问题是非Linux系统如何运行容器。Docker for Mac和Windows都使用Linux虚拟机来运行容器。Docker工具箱用于在Virtual Box VM中运行容器。但是，最新的Docker在Windows中使用Hyper-V，在Mac中使用Hypervisor.framework。

现在，让我详细描述Docker for Mac如何运行容器。

Docker for Mac使用https://github.com/moby/hyperkit为了模拟hypervisor功能，Hyperkit在其核心中使用hypervisor.framework。Hypervisor.framework是Mac的本地管理程序解决方案。Hyperkit还使用VPNKit和DataKit分别命名网络和文件系统。

Docker在Mac上运行的Linux VM是只读的。但是，您可以通过运行以下命令来实现：

screen~/Library/Containers/com.docker.docker/Data/vms/0/tty。

现在，我们甚至可以检查此VM的内核版本：

#uname-aLinux linuxkit-025000000001 4.9.93-linuxkit-aufs#1 SMP 6月6日星期三16:86_64 Linux。

所有容器都在此VM内运行。

hypervisor.framework有一些限制。因为Docker没有在Mac中公开docker0网络接口。因此，您无法从主机访问容器。目前，docker0仅在VM中可用。

Hyper-v是Windows中的本机管理程序。他们还试图利用Windows 10的功能以本机方式运行Linux系统。

这里的大多数答案都涉及虚拟机。我将给你一个简单的回答，这个问题在过去几年中对我的帮助最大。是这样的：

Docker只是运行进程的一种奇特方式，而不是虚拟机。

现在，让我再解释一下这意味着什么。虚拟机是它们自己的野兽。我觉得解释Docker是什么比解释虚拟机更能帮助你理解这一点。特别是因为这里有很多很好的答案，告诉你某人说“虚拟机”的确切含义。所以

Docker容器只是一个进程（及其子进程），它使用主机系统内核内的cgroups与其他进程进行划分。通过在主机上运行ps aux，您实际上可以看到Docker容器进程。例如，“在容器中”启动apache2只是将apache2作为主机上的一个特殊进程启动。它只是与机器上的其他过程分开了。需要注意的是，容器不存在于容器化流程的生命周期之外。当你的进程失效时，你的容器也会失效。这是因为Docker将容器中的pid 1替换为应用程序（pid 1通常是init系统）。关于pid 1的最后一点非常重要。

就每个容器进程所使用的文件系统而言，Docker使用UnionFS支持的映像，这是您在Docker拉ubuntu时下载的映像。每个“图像”只是一系列层和相关元数据。分层的概念在这里非常重要。每一层都只是其下一层的变化。例如，当你在构建Docker容器时删除Dockerfile中的一个文件时，你实际上只是在最后一层的上面创建一个层，上面写着“该文件已被删除”。顺便说一句，这就是为什么您可以从文件系统中删除一个大文件，但映像仍然占用相同的磁盘空间。文件仍然存在，在当前文件下面的层中。层本身只是文件的tarball。您可以使用docker save--output/tmp/ubuntu.tar-ubuntu和cd/tmp&&tar-xvf-ubuntu.tar来测试这一点。然后您可以四处看看。所有看起来像长散列的目录实际上都是单独的层。每一个都包含文件（layer.tar）和元数据（json）以及有关该特定层的信息。这些层只是描述文件系统的更改，这些更改保存为“在”原始状态之上的层。当读取“当前”数据时，文件系统读取数据时，就像只查看最顶层的更改一样。这就是为什么文件看起来被删除了，尽管它仍然存在于“先前”层中，因为文件系统只查看最顶层。这允许完全不同的容器共享其文件系统层，即使每个容器中最顶层的文件系统可能发生了一些重大变化。当容器共享其基本图像层时，这可以节省大量磁盘空间。但是，当您通过卷将目录和文件从主机系统装载到容器中时，这些卷会“绕过”UnionFS，因此更改不会存储在层中。

Docker中的网络是通过使用以太网桥（主机上称为docker0）和主机上每个容器的虚拟接口实现的。它在docker0中创建一个虚拟子网，用于容器之间的通信。这里有许多联网选项，包括为容器创建自定义子网，以及“共享”主机的网络堆栈以供容器直接访问的功能。

Docker进展很快。它的文档是我见过的最好的文档之一。它通常写得很好，简洁准确。我建议您查看可用的文档以获取更多信息，并将文档置于在线阅读的任何其他内容之上，包括堆栈溢出。如果你有具体的问题，我强烈建议加入Freenode IRC上的#docker并在那里提问（你甚至可以使用Freenode的网络聊天！）。

有很多答案可以更详细地解释这些差异，但这里是我非常简短的解释。

一个重要的区别是VM使用单独的内核来运行操作系统。这就是它很重并且需要时间引导的原因，消耗了更多的系统资源。

在Docker中，容器与主机共享内核；因此它重量轻，可以快速启动和停止。

在虚拟化中，资源是在设置开始时分配的，因此当虚拟机在许多时间内处于空闲状态时，资源没有得到充分利用。在Docker中，容器没有分配固定数量的硬件资源，可以根据需求自由使用资源，因此具有高度的可扩展性。

Docker使用UNION文件系统。。Docker使用写时复制技术来减少容器消耗的内存空间。在此处阅读更多信息

Docker是这样介绍自己的：

Docker是推动集装箱运输的公司，也是唯一容器平台提供程序，以解决混合云。今天的企业面临着数字化的压力转换，但受现有应用程序和同时合理化日益多样化的投资组合云、数据中心和应用程序架构。Docker启用应用程序和基础架构之间的真正独立性开发人员和IT运营人员释放他们的潜力并创建一个模型以实现更好的协作和创新。

所以Docker是基于容器的，这意味着你有可以在当前机器上运行的图像和容器。它不包括像VM这样的操作系统，而是像Java、Tomcat等一组不同的工作包。

如果你了解容器，你就会了解Docker是什么，以及它与VM的区别。。。

那么，什么是容器？

容器映像是一个轻量级、独立的可执行包一个包含运行它所需的一切的软件：代码，运行时、系统工具、系统库、设置。两者都可用基于Linux和Windows的应用程序、容器化软件将始终运行无论环境如何，都是一样的。容器隔离软件从其环境来看，例如发展和分段环境，帮助减少运行团队之间的冲突同一基础设施上的不同软件。

如下图所示，每个容器都有一个单独的包，并且在一台机器上运行，共享该机器的操作系统。。。它们安全且易于运输。。。

我在生产环境和登台中使用过Docker。当你习惯了它，你会发现它对于构建一个多容器和隔离环境非常强大。

Docker是基于LXC（Linux容器）开发的，在许多Linux发行版中都能完美运行，尤其是Ubuntu。

Docker容器是隔离的环境。当您在Docker容器中发出top命令时，可以看到它，Docker容器是从Docker映像创建的。

此外，由于dockerFile配置，它们非常轻便和灵活。

例如，您可以创建一个Docker映像并配置一个DockerFile，然后告诉它，例如，当它运行时，运行wget“this”，apt-get“that”，运行“some shell script”，设置环境变量等等。

在微服务项目和架构中，Docker是一项非常可行的资产。您可以通过Docker、Docker swarm、Kubernetes和Docker Compose实现可伸缩性、弹性和弹性。

Docker的另一个重要问题是Docker Hub及其社区。例如，我使用Prometheus、Grafana、PrometheusJMXExporter和Docker实现了一个用于监控kafka的生态系统。

为此，我为zookeeper、kafka、Prometheus、Grafana和jmx收集器下载了已配置的Docker容器，然后使用YAML文件为其中一些容器安装了自己的配置，我更改了Docker容器中的一些文件和配置，并在一台机器上使用多容器Docker构建了一个用于监控kafka的完整系统，该系统具有隔离性、可扩展性和弹性，该架构可以轻松移动到多个服务器中。

除了Docker Hub站点之外，还有一个名为quay.io的站点，您可以使用它在那里创建自己的Docker图像仪表板，并将其推送到码头。您甚至可以将Docker图像从DockerHub导入码头，然后在自己的机器上从码头运行。

注意：学习Docker一开始看起来既复杂又困难，但当你习惯了它之后，你就不能没有它了。

我记得在使用Docker的第一天，我发出了错误的命令，或者错误地删除了我的容器和所有数据和配置。