2021-02-17 分類: 網站建設
各種虛擬機技術開啟了云計算時代;而Docker,作為下一代虛擬化技術,正在改變我們開發、測試、部署應用的方式。那虛擬機與Docker究竟有何不同呢?
首先,大家需要明確一點,Docker容器不是虛擬機!
第一次接觸Docker的時候,我把它比做一種輕量級的虛擬機。這樣做無可厚非,因為Docker最初的成功秘訣,正是它比虛擬機更節省內存,啟動更快。Docker不停地給大家宣傳,"虛擬機需要數分鐘啟動,而Docker容器只需要50毫秒"。
然而,Docker容器并非虛擬機!
理解虛擬機
使用虛擬機運行多個相互隔離的應用時,如下圖:
從下到上理解上圖:
基礎設施(Infrastructure)。它可以是你的個人電腦,數據中心的服務器,或者是云主機。
主操作系統(Host Operating System)。你的個人電腦之上,運行的可能是MacOS,Windows或者某個Linux發行版。
虛擬機管理系統(Hypervisor)。利用Hypervisor,可以在主操作系統之上運行多個不同的從操作系統。類型1的Hypervisor有支持MacOS的HyperKit,支持Windows的Hyper-V以及支持Linux的KVM。類型2的Hypervisor有VirtualBox和VMWare。
從操作系統(Guest Operating System)。假設你需要運行3個相互隔離的應用,則需要使用Hypervisor啟動3個從操作系統,也就是3個虛擬機。這些虛擬機都非常大,也許有700MB,這就意味著它們將占用2.1GB的磁盤空間。更糟糕的是,它們還會消耗很多CPU和內存。
各種依賴。每一個從操作系統都需要安裝許多依賴。如果你的的應用需要連接PostgreSQL的話,則需要安裝libpq-dev;如果你使用Ruby的話,應該需要安裝gems;如果使用其他編程語言,比如Python或者Node.js,都會需要安裝對應的依賴庫。
應用。安裝依賴之后,就可以在各個從操作系統分別運行應用了,這樣各個應用就是相互隔離的。
理解Docker容器
使用Docker容器運行多個相互隔離的應用時,如下圖:
主操作系統(Host Operating System)。所有主流的Linux發行版都可以運行Docker。對于MacOS和Windows,也有一些辦法"運行"Docker。
Docker守護進程(Docker Daemon)。Docker守護進程取代了Hypervisor,它是運行在操作系統之上的后臺進程,負責管理Docker容器。
各種依賴。對于Docker,應用的所有依賴都打包在Docker鏡像中,Docker容器是基于Docker鏡像創建的。
應用。應用的源代碼與它的依賴都打包在Docker鏡像中,不同的應用需要不同的Docker鏡像。不同的應用運行在不同的Docker容器中,它們是相互隔離的。
對比虛擬機與Docker
Docker守護進程可以直接與主操作系統進行通信,為各個Docker容器分配資源;它還可以將容器與主操作系統隔離,并將各個容器互相隔離。虛擬機啟動需要數分鐘,而Docker容器可以在數毫秒內啟動。由于沒有臃腫的從操作系統,Docker可以節省大量的磁盤空間以及其他系統資源。
說了這么多Docker的優勢,大家也沒有必要完全否定虛擬機技術,因為兩者有不同的使用場景。
虛擬機更擅長于徹底隔離整個運行環境。例如,云服務提供商通常采用虛擬機技術隔離不同的用戶。
Docker通常用于隔離不同的應用,例如前端,后端以及數據庫。
容器使用由Linux內核提供的命名空間,大多數人把命名空間認為是一個上下文或域的授權決定(進程X有權訪問資源Y)。
如果容器內的進程掃描文件系統來尋找要竊取的東西,它只能找到容器內明確可見的文件。
如果容器內的進程中想嘗試做一些惡意的事情,比如打開端口31337后門服務,它不會有多大好處,因為這個端口實際上不會暴露在容器外的任何地方。容器內部的惡意進程不能訪問的任何容器外的其他進程的內存。
有幾個方法可以擺脫容器的束縛,但這些通常需要容器的root訪問權限。
不要以root運行應用程序,通過簡單的幾個步驟穩固root訪問權限。
容器使用cgroup來提供與虛擬機相同級別的資源使用保護機制。容器和虛擬機都可以獲取整個網絡鏈接。
容器運行的是不完整的操作系統(盡管它們可以),虛擬機必須運行完整的。
容器比虛擬機使用更少的閑置資源,它們不運行完整的操作系統。
容器在在云硬件(或虛擬機)中可以被復用,就像虛擬機在裸機上可以被復用。
容器需要毫秒分配,虛擬機需要幾分鐘。所以,你可以另配、重新平衡、釋放以及使用容器比虛擬機的迭代更加迅速。
如果每個容器運行的只有一個服務或者數據庫,這是比較容易管理的。而且比較容易監控性能,了解故障的影響,并預測成本。
離目標進程越遠,隔離會變得更昂貴。虛擬機是偉大的,它通過抽象來增加并行,服務于多操作系統的使用情況以及業界最好的安全性。但對于隔離,它們相當的昂貴,容器提供的隔離就便宜。
服務器虛擬化vs Docker
服務器好比運輸碼頭:擁有場地和各種設備(服務器硬件資源)
服務器虛擬化好比作碼頭上的倉庫:擁有獨立的空間堆放各種貨物或集裝箱
(倉庫之間完全獨立,獨立的應用系統和操作系統)
Docker比作集裝箱:各種貨物的打包
(將各種應用程序和他們所依賴的運行環境打包成標準的容器,容器之間隔離)
Docker有著小巧、遷移部署快速、運行高效等特點,但隔離性比服務器虛擬化差:不同的集裝箱屬于不同的運單(Docker上運行不同的應用實例),相互獨立(隔離)。但由同一個庫管人員管理(主機操作系統內核),因此通過庫管人員可以看到所有集裝箱的相關信息(因為共享操作系統內核,因此相關信息會共享)。
服務器虛擬化就好比在碼頭上(物理主機及虛擬化層),建立了多個獨立的“小碼頭”—倉庫(虛擬機)。其擁有完全獨立(隔離)的空間,屬于不同的客戶(虛擬機所有者)。每個倉庫有各自的庫管人員(當前虛擬機的操作系統內核),無法管理其它倉庫。不存在信息共享的情況
因此,我們需要根據不同的應用場景和需求采用不同的方式使用Docker技術或使用服務器虛擬化技術。例如一個典型的Docker應用場景是當主機上的Docker實例屬于單一用戶的情況下,在保證安全的同時可以充分發揮Docker的技術優勢。對于隔離要求較高的環境如混合用戶環境,就可以使用服務器虛擬化技術。正則科技提供了豐富的Docker應用實例,滿足您的各種應用需求,并且支持在已經安裝了自在(Isvara)服務器虛擬化軟件的主機上同時使用服務器虛擬化技術和Docker技術提供不同技術場景。
分享名稱:Docker容器與虛擬機有什么區別
URL標題:http://m.newbst.com/news21/101421.html
成都網站建設公司_創新互聯,為您提供ChatGPT、關鍵詞優化、品牌網站設計、標簽優化、云服務器、靜態網站
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容