Docker跟一般的虚拟机有啥区别

Posted 2023-03-16

Docker和虚拟机有各自擅长的领域，在软件开发、测试场景和生产运维场景中各有优劣势：
1、Docker启动快速属于秒级别，虚拟机通常需要几分钟去启动;
2、Docker需要的资源更少，Docker在操作系统级别进行虚拟化，Docker容器和内核交互，几乎没有性能损耗，而虚拟机就差了很多;
3、Docker更轻量，Docker的架构可以共用一个内核与共享应用程序库，所占内存极小;同样的硬件环境，Docker运行的镜像数远多于虚拟机数量，对系统的利用率非常高;
4、与虚拟机相比，Docker隔离性更弱，Docker属于进程之间的隔离，虚拟机可实现系统级别隔离;
5、Docker的安全性也更弱，Docker的租户root和宿主机root相同，一旦容器内的用户从普通用户权限提升为root权限，它就直接具备了宿主机的root权限，进而可进行无限制的操作。虚拟机租户root权限和宿主机的root虚拟机权限是分离的，并且虚拟机利用如Intel的VT-d和VT-x的ring-1硬件隔离技术，这种技术可以防止虚拟机突破和彼此交互，而容器至今还没有任何形式的硬件隔离;
6、Docker的集中化管理工具还不算成熟，各种虚拟化技术都有成熟的管理工具，比如：VMware vCenter提供完备的虚拟机管理能力;
7、Docker对业务的高可用支持是通过快速重新部署实现的，虚拟化具备负载均衡，高可用、容错、迁移和数据保护等经过生产实践检验的成熟保障机制，Vmware可承诺虚拟机99.999%高可用，保证业务连续性;
8、虚拟化创建是分钟级别的，Docker容器创建是秒级别的，Docker的快速迭代性，决定了无论是开发、测试、部署都可以节省大量时间;
9、虚拟机可以通过镜像实现环境交付的一致性，但镜像分发无法体系化，Docker在Dockerfile中记录了容器构建过程，可在集群中实现快速分发和快速部署。 参考技术A IBM研究部门发表了一篇关于容器和虚拟机环境性能比较的论文。这篇论文使用了Docker和KVM作为研究对象，阐述了Docker使用NAT或AUFS时的开销，并且质疑了在虚拟机上运行容器的实践方法。
论文作者在原生、容器和虚拟化环境中运行了CPU、内存、网络和I/O的benchmark。其中，分别使用KVM和Docker作为虚拟化和容器技术的代表。Benchmark也包含了对不同环境下Redis和mysql负载的采样。通过小数据包和多客户端，Redis侧重于网络栈的性能。而MySQL侧重于内存，网络和文件系统的性能。
结果显示，在每一项测试中，Docker的性能等同于或超出KVM的性能。在CPU和内存性能方面，KVM和Docker都引入了明显的，但可略不计的开销。但是，对于I/O密集型的应用，两者都需要进行调整以减少开销带来的影响。
当使用AUFS存储文件时，Docker的性能会降低。而相比之下，使用卷（volume）能够获得更好的性能。卷是一种专门设计的目录，存在于一个或多个容器内。通过这种目录能够绕过联合文件系统（union file system）。这样它就没有了存储后端可能带来的开销。默认的AUFS后端会引起显著的I/O开销，特别是当有多层目录深度嵌套的时候。
Docker的默认网络选项，--net=bridge，由于NAT会重写数据包，也引入了性能开销。当数据包收发率变高时，这种开销会变得很明显。可以通过使用--net=host改善网络的性能。这个选项告诉Docker不要为容器创建一个独立的网络栈，并允许容器拥有宿主机网络接口的完全访问权限。但是，使用这个选项时要小心。因为它允许容器内的进程像其他根进程一样，使用数值较小的端口；并允许容器内的进程访问本地网络服务，如D-bus。这使得容器内的进程可以做一些预料之外的事情，如重启宿主机。