Docker这几年的迅猛发展让容器重新流行起来,不过但很多资料里介绍Docker时都说是"新瓶装旧酒"。除了容器外虚拟机也是我们或多或少会接触到的虚拟化技术。虚拟机和容器都用于创建隔离的虚拟环境,但是这两种虚拟化技术有显著的不同,今天的文章就来聊一下它们之间的区别。
虚拟机(VM)是共享一个服务器的物理资源的操作系统。它是主机硬件上的Guest,因此也被称为Guest虚拟机。
虚拟机由几层组成。支持虚拟化的层是hypervisor。hypervisor是一种虚拟化服务器的软件。
运行应用程序所需的一切都包含在虚拟机里--虚拟化的硬件,操作系统以及任何所需的二进制文件和库。因此,虚拟机具有自己独立的基础架构。
虚拟机架构图
虚拟机可减少在服务器设备上的支出,可以利用一个物理服务器资源切分成多个独立的虚拟机来完成许多工作。
由于只有一台主机,因此可以利用虚拟机管理程序的集中功能高效地管理所有虚拟环境。这些系统完全相互独立,这意味着你可以在不同的虚拟机里安装不同的系统环境。
最重要的是,虚拟机与主机操作系统隔离,是进行实验和开发应用程序的安全场所。
虚拟机可能占用主机的大量系统资源,虚拟机的大小为数GB。在虚拟服务器上运行单个应用程序意味着还要运行Guest OS以及Guest OS运行所需的所有硬件的虚拟副本。这样很快就增加了很多RAM和CPU资源消耗。
迁移虚拟机上运行的应用程序的过程也可能很复杂,因为它始终附加在操作系统上。因此,必须同时迁移应用程序和操作系统。同样,在创建虚拟机时,系统管理程序会分配专用于VM的硬件资源。不过与运行单独的实体服务器相比,这仍然是经济的。
容器是一个不依赖于操作系统,运行应用程序的环境。它通过linux的Namespaces和Cgroups技术对应用程序进程进行隔离和限制的,Namespace的作用是隔离,它让应用进程只能看到该Namespace内的世界;而Cgroups 的作用是限制分配给进程的宿主机资源。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。
容器只是运行在宿主机上的一种特殊的进程,多个容器之间使用的还是同一个宿主机的操作系统内核。
关于Namespaces和Cgroups后面再详细介绍,这里你只知道他们是启动隔离和限制应用进程的就行了。
Namespace的作用是隔离,它让应用进程只能看到该Namespace内的世界;而Cgroups的作用是限制,它给这个世界围上了一圈看不见的墙。通过Mount Namespace可以修改容器进程对自己的文件系统 "挂载点"的认知。在容器进程启动之前重新挂载它的整个根目录"/"(通过pivot_root系统调用改变进程的文件系统,如果系统不支持,则使用chroot),而由于Mount Namespace的存在,这个挂载对宿主机不可见的。这个挂载在容器根目录上、用来为容器进程提供隔离后执行环境的文件系统,就是所谓的“容器镜像”。它还有一个更为专业的名字,叫做:rootfs(根文件系统)。rootfs只是一个操作系统所包含的文件、配置和目录,并不包括操作系统内核。
所以说,rootfs 只包括了操作系统的 "躯壳",并没有包括操作系统的内核。同一台机器上的所有容器,都会共享宿主机操作系统的内核。
这就意味着,如果容器里的应用程序需要配置内核参数、跟内核进行直接的交互,这些都是操作的宿主机操作系统的内核,它对于该机器上的所有容器来说是一个“全局变量”,牵一发而动全身。这也是容器相比于虚拟机的主要缺陷之一:毕竟虚拟机有模拟出来的硬件机器充当沙盒,而且每个虚拟机里还运行着一个完整Guest OS让应用随便折腾。不过由于rootfs里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它运行所需要的所有依赖,都被封装在了一起。这就赋予了容器所谓的一致性:无论在本地、云端,还是在一台任何地方的机器上,用户只需要解压打包好的容器镜像,那么这个应用运行所需要的完整的执行环境就能被重现出来。
容器占用的大小比虚拟机小很多,甚至可以小到10MB,可以轻松限制容器的内存和CPU使用率。与部署应用需要部署整个操作系统的虚拟机相比,容器非常轻巧且启动迅速。这样让我们可以快速扩展容器并添加相同的容器。
同样,容器对于持续集成和持续部署(CI / CD)实施也是极好的选择。他们通过在开发人员之间分发和合并镜像来促进协作开发。
容器仍无法提供与虚拟机相同的安全性和稳定性。由于它们共享主机的内核,因此不能像虚拟机一样完全隔离。
容器是进程级的隔离,一个容器可以通过影响宿主机内核的稳定性来影响其他容器。
一旦容器执行了任务,它就会关闭并删除其中的所有数据。如果希望数据保留下来,则必须使用"数据卷"进行保存,这需要在主机上进行手动配置。
上面我们列出了容器和虚拟机各自的优势和劣势,我们在因为优势选择了其一后默认就要其忍受劣势所带来的副作用,凡事都有两面性没有东西可以只有优点没缺点的。就容器和虚拟机来说,因为其完整的隔离和安全性虚拟机通常用于要求苛刻的应用程序,网络基础结构以及能消耗VM大部分资源的应用程序。而容器通常用于Web应用,微服务。