Docker容器與虛擬機(jī)有什么區(qū)別

2021-02-17    分類(lèi): 網(wǎng)站建設(shè)

各種虛擬機(jī)技術(shù)開(kāi)啟了云計(jì)算時(shí)代;而Docker,作為下一代虛擬化技術(shù),正在改變我們開(kāi)發(fā)、測(cè)試、部署應(yīng)用的方式。那虛擬機(jī)與Docker究竟有何不同呢?

首先,大家需要明確一點(diǎn),Docker容器不是虛擬機(jī)!

第一次接觸Docker的時(shí)候,我把它比做一種輕量級(jí)的虛擬機(jī)。這樣做無(wú)可厚非,因?yàn)镈ocker最初的成功秘訣,正是它比虛擬機(jī)更節(jié)省內(nèi)存,啟動(dòng)更快。Docker不停地給大家宣傳,"虛擬機(jī)需要數(shù)分鐘啟動(dòng),而Docker容器只需要50毫秒"。

然而,Docker容器并非虛擬機(jī)!

理解虛擬機(jī)

使用虛擬機(jī)運(yùn)行多個(gè)相互隔離的應(yīng)用時(shí),如下圖:


從下到上理解上圖:

基礎(chǔ)設(shè)施(Infrastructure)。它可以是你的個(gè)人電腦,數(shù)據(jù)中心的服務(wù)器,或者是云主機(jī)。

主操作系統(tǒng)(Host Operating System)。你的個(gè)人電腦之上,運(yùn)行的可能是MacOS,Windows或者某個(gè)Linux發(fā)行版。

虛擬機(jī)管理系統(tǒng)(Hypervisor)。利用Hypervisor,可以在主操作系統(tǒng)之上運(yùn)行多個(gè)不同的從操作系統(tǒng)。類(lèi)型1的Hypervisor有支持MacOS的HyperKit,支持Windows的Hyper-V以及支持Linux的KVM。類(lèi)型2的Hypervisor有VirtualBox和VMWare。

從操作系統(tǒng)(Guest Operating System)。假設(shè)你需要運(yùn)行3個(gè)相互隔離的應(yīng)用,則需要使用Hypervisor啟動(dòng)3個(gè)從操作系統(tǒng),也就是3個(gè)虛擬機(jī)。這些虛擬機(jī)都非常大,也許有700MB,這就意味著它們將占用2.1GB的磁盤(pán)空間。更糟糕的是,它們還會(huì)消耗很多CPU和內(nèi)存。

各種依賴(lài)。每一個(gè)從操作系統(tǒng)都需要安裝許多依賴(lài)。如果你的的應(yīng)用需要連接PostgreSQL的話(huà),則需要安裝libpq-dev;如果你使用Ruby的話(huà),應(yīng)該需要安裝gems;如果使用其他編程語(yǔ)言,比如Python或者Node.js,都會(huì)需要安裝對(duì)應(yīng)的依賴(lài)庫(kù)。

應(yīng)用。安裝依賴(lài)之后,就可以在各個(gè)從操作系統(tǒng)分別運(yùn)行應(yīng)用了,這樣各個(gè)應(yīng)用就是相互隔離的。

理解Docker容器

使用Docker容器運(yùn)行多個(gè)相互隔離的應(yīng)用時(shí),如下圖:


主操作系統(tǒng)(Host Operating System)。所有主流的Linux發(fā)行版都可以運(yùn)行Docker。對(duì)于MacOS和Windows,也有一些辦法"運(yùn)行"Docker。

Docker守護(hù)進(jìn)程(Docker Daemon)。Docker守護(hù)進(jìn)程取代了Hypervisor,它是運(yùn)行在操作系統(tǒng)之上的后臺(tái)進(jìn)程,負(fù)責(zé)管理Docker容器。

各種依賴(lài)。對(duì)于Docker,應(yīng)用的所有依賴(lài)都打包在Docker鏡像中,Docker容器是基于Docker鏡像創(chuàng)建的。

應(yīng)用。應(yīng)用的源代碼與它的依賴(lài)都打包在Docker鏡像中,不同的應(yīng)用需要不同的Docker鏡像。不同的應(yīng)用運(yùn)行在不同的Docker容器中,它們是相互隔離的。

對(duì)比虛擬機(jī)與Docker

Docker守護(hù)進(jìn)程可以直接與主操作系統(tǒng)進(jìn)行通信,為各個(gè)Docker容器分配資源;它還可以將容器與主操作系統(tǒng)隔離,并將各個(gè)容器互相隔離。虛擬機(jī)啟動(dòng)需要數(shù)分鐘,而Docker容器可以在數(shù)毫秒內(nèi)啟動(dòng)。由于沒(méi)有臃腫的從操作系統(tǒng),Docker可以節(jié)省大量的磁盤(pán)空間以及其他系統(tǒng)資源。

說(shuō)了這么多Docker的優(yōu)勢(shì),大家也沒(méi)有必要完全否定虛擬機(jī)技術(shù),因?yàn)閮烧哂胁煌氖褂脠?chǎng)景。

虛擬機(jī)更擅長(zhǎng)于徹底隔離整個(gè)運(yùn)行環(huán)境。例如,云服務(wù)提供商通常采用虛擬機(jī)技術(shù)隔離不同的用戶(hù)。

Docker通常用于隔離不同的應(yīng)用,例如前端,后端以及數(shù)據(jù)庫(kù)。


容器使用由Linux內(nèi)核提供的命名空間,大多數(shù)人把命名空間認(rèn)為是一個(gè)上下文或域的授權(quán)決定(進(jìn)程X有權(quán)訪(fǎng)問(wèn)資源Y)。

如果容器內(nèi)的進(jìn)程掃描文件系統(tǒng)來(lái)尋找要竊取的東西,它只能找到容器內(nèi)明確可見(jiàn)的文件。

如果容器內(nèi)的進(jìn)程中想嘗試做一些惡意的事情,比如打開(kāi)端口31337后門(mén)服務(wù),它不會(huì)有多大好處,因?yàn)檫@個(gè)端口實(shí)際上不會(huì)暴露在容器外的任何地方。容器內(nèi)部的惡意進(jìn)程不能訪(fǎng)問(wèn)的任何容器外的其他進(jìn)程的內(nèi)存。

有幾個(gè)方法可以擺脫容器的束縛,但這些通常需要容器的root訪(fǎng)問(wèn)權(quán)限。

不要以root運(yùn)行應(yīng)用程序,通過(guò)簡(jiǎn)單的幾個(gè)步驟穩(wěn)固root訪(fǎng)問(wèn)權(quán)限。

容器使用cgroup來(lái)提供與虛擬機(jī)相同級(jí)別的資源使用保護(hù)機(jī)制。容器和虛擬機(jī)都可以獲取整個(gè)網(wǎng)絡(luò)鏈接。

容器運(yùn)行的是不完整的操作系統(tǒng)(盡管它們可以),虛擬機(jī)必須運(yùn)行完整的。

容器比虛擬機(jī)使用更少的閑置資源,它們不運(yùn)行完整的操作系統(tǒng)。

容器在在云硬件(或虛擬機(jī))中可以被復(fù)用,就像虛擬機(jī)在裸機(jī)上可以被復(fù)用。

容器需要毫秒分配,虛擬機(jī)需要幾分鐘。所以,你可以另配、重新平衡、釋放以及使用容器比虛擬機(jī)的迭代更加迅速。

如果每個(gè)容器運(yùn)行的只有一個(gè)服務(wù)或者數(shù)據(jù)庫(kù),這是比較容易管理的。而且比較容易監(jiān)控性能,了解故障的影響,并預(yù)測(cè)成本。

離目標(biāo)進(jìn)程越遠(yuǎn),隔離會(huì)變得更昂貴。虛擬機(jī)是偉大的,它通過(guò)抽象來(lái)增加并行,服務(wù)于多操作系統(tǒng)的使用情況以及業(yè)界最好的安全性。但對(duì)于隔離,它們相當(dāng)?shù)陌嘿F,容器提供的隔離就便宜。

服務(wù)器虛擬化vs Docker


服務(wù)器好比運(yùn)輸碼頭:擁有場(chǎng)地和各種設(shè)備(服務(wù)器硬件資源)

服務(wù)器虛擬化好比作碼頭上的倉(cāng)庫(kù):擁有獨(dú)立的空間堆放各種貨物或集裝箱

(倉(cāng)庫(kù)之間完全獨(dú)立,獨(dú)立的應(yīng)用系統(tǒng)和操作系統(tǒng))

Docker比作集裝箱:各種貨物的打包

(將各種應(yīng)用程序和他們所依賴(lài)的運(yùn)行環(huán)境打包成標(biāo)準(zhǔn)的容器,容器之間隔離)

Docker有著小巧、遷移部署快速、運(yùn)行高效等特點(diǎn),但隔離性比服務(wù)器虛擬化差:不同的集裝箱屬于不同的運(yùn)單(Docker上運(yùn)行不同的應(yīng)用實(shí)例),相互獨(dú)立(隔離)。但由同一個(gè)庫(kù)管人員管理(主機(jī)操作系統(tǒng)內(nèi)核),因此通過(guò)庫(kù)管人員可以看到所有集裝箱的相關(guān)信息(因?yàn)楣蚕聿僮飨到y(tǒng)內(nèi)核,因此相關(guān)信息會(huì)共享)。

服務(wù)器虛擬化就好比在碼頭上(物理主機(jī)及虛擬化層),建立了多個(gè)獨(dú)立的“小碼頭”—倉(cāng)庫(kù)(虛擬機(jī))。其擁有完全獨(dú)立(隔離)的空間,屬于不同的客戶(hù)(虛擬機(jī)所有者)。每個(gè)倉(cāng)庫(kù)有各自的庫(kù)管人員(當(dāng)前虛擬機(jī)的操作系統(tǒng)內(nèi)核),無(wú)法管理其它倉(cāng)庫(kù)。不存在信息共享的情況

因此,我們需要根據(jù)不同的應(yīng)用場(chǎng)景和需求采用不同的方式使用Docker技術(shù)或使用服務(wù)器虛擬化技術(shù)。例如一個(gè)典型的Docker應(yīng)用場(chǎng)景是當(dāng)主機(jī)上的Docker實(shí)例屬于單一用戶(hù)的情況下,在保證安全的同時(shí)可以充分發(fā)揮Docker的技術(shù)優(yōu)勢(shì)。對(duì)于隔離要求較高的環(huán)境如混合用戶(hù)環(huán)境,就可以使用服務(wù)器虛擬化技術(shù)。正則科技提供了豐富的Docker應(yīng)用實(shí)例,滿(mǎn)足您的各種應(yīng)用需求,并且支持在已經(jīng)安裝了自在(Isvara)服務(wù)器虛擬化軟件的主機(jī)上同時(shí)使用服務(wù)器虛擬化技術(shù)和Docker技術(shù)提供不同技術(shù)場(chǎng)景。

分享名稱(chēng):Docker容器與虛擬機(jī)有什么區(qū)別
URL標(biāo)題:http://muchs.cn/news21/101421.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、關(guān)鍵詞優(yōu)化、品牌網(wǎng)站設(shè)計(jì)、標(biāo)簽優(yōu)化云服務(wù)器、靜態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化