docker既可以运行在物理机上也可以运行在虚拟机上;无论是虚拟机还是物理机,都是硬件和基础设施的一种交付方式,本质上是一个层次的,而容器主要用于解决以软件为中心的系列问题,在虚拟机和物理机运行容器都是可行的。
本教程操作环境:linux7.3系统、docker19.03版、Dell G3电脑。
docker容器运行在虚拟机或者物理机上都可以
无论是虚拟机还是物理机,都是硬件/基础设施的一种交付方式,本质上是一个层次的;而容器主要要解决以软件为中心的系列问题
严格来讲,容器和虚拟机并不是一个层次的东西,它就是软件+环境的打包集合。
在虚拟机中运行容器,已经成为一种实践中的惯例,比如,AWS的container服务就是只运行在虚拟机中的。
Docker守护进程可以直接与主操作系统进行通信,为各个Docker容器分配资源;它还可以将容器与主操作系统隔离,并将各个容器互相隔离。Docker通常用于隔离不同的应用,例如前端,后端以及数据库。
扩展知识:
Docker守护进程可以直接与主操作系统进行通信,为各个Docker容器分配资源;它还可以将容器与主操作系统隔离,并将各个容器互相隔离。Docker通常用于隔离不同的应用,例如前端,后端以及数据库。
Docker有着小巧、迁移部署快速、运行高效等特点,但隔离性比服务器虚拟化差:不同的集装箱属于不同的运单(Docker上运行不同的应用实例),相互独立(隔离)。但由同一个库管人员管理(主机操作系统内核),因此通过库管人员可以看到所有集装箱的相关信息(因为共享操作系统内核,因此相关信息会共享)。
虚拟机更擅长于彻底隔离整个运行环境。例如,云服务商通常采用虚拟机技术隔离不同的用户。虚拟机启动需要数分钟,而Docker容器可以在数毫秒内启动。由于没有臃肿的操作系统,Docker可以节省大量的磁盘空间以及其他系统资源。
服务器虚拟化就好比在码头上(物理主机及虚拟化层),建立了多个独立的“小码头”—仓库(虚拟机)。其拥有完全独立(隔离)的空间,属于不同的客户(虚拟机所有者)。每个仓库有各自的库管人员(当前虚拟机的操作系统内核),无法管理其它仓库。不存在信息共享的情况。
因此,我们需要根据不同的应用场景和需求采用不同的方式,使用Docker技术或使用服务器虚拟化技术。
docker与虚拟机实现原理比较
如下图分别是虚拟机与docker的实现框架。
比较两图的差异,左图虚拟机的Guest OS层和Hypervisor层在docker中被Docker Engine层所替代。虚拟机的Guest OS即为虚拟机安装的操作系统,它是一个完整操作系统内核;虚拟机的Hypervisor层可以简单理解为一个硬件虚拟化平台,它在Host OS是以内核态的驱动存在的。
虚拟机实现资源隔离的方法是利用独立的OS,并利用Hypervisor虚拟化CPU、内存、IO设备等实现的。例如,为了虚拟CPU,Hypervisor会为每个虚拟的CPU创建一个数据结构,模拟CPU的全部寄存器的值,在适当的时候跟踪并修改这些值。需要指出的是在大多数情况下,虚拟机软件代码是直接跑在硬件上的,而不需要Hypervisor介入。只有在一些权限高的请求下,Guest OS需要运行内核态修改CPU的寄存器数据,Hypervisor会介入,修改并维护虚拟的CPU状态。
Hypervisor虚拟化内存的方法是创建一个shadow page table。正常的情况下,一个page table可以用来实现从虚拟内存到物理内存的翻译。在虚拟化的情况下,由于所谓的物理内存仍然是虚拟的,因此shadow page table就要做到:虚拟内存->虚拟的物理内存->真正的物理内存。
对于IO设备虚拟化,当Hypervisor接到page fault,并发现实际上虚拟的物理内存地址对应的是一个I/O设备,Hypervisor就用软件模拟这个设备的工作情况,并返回。比如当CPU想要写磁盘时,Hypervisor就把相应的数据写到一个host OS的文件上,这个文件实际上就模拟了虚拟的磁盘。
对比虚拟机实现资源和环境隔离的方案,docker就显得简练很多。docker Engine可以简单看成对Linux的NameSpace、Cgroup、镜像管理文件系统操作的封装。docker并没有和虚拟机一样利用一个完全独立的Guest OS实现环境隔离,它利用的是目前linux内核本身支持的容器方式实现资源和环境隔离。简单的说,docker利用namespace实现系统环境的隔离;利用Cgroup实现资源限制;利用镜像实现根目录环境的隔离。
推荐学习:《docker视频教程》
以上是docker运行在物理机还是虚拟机上的详细内容。更多信息请关注PHP中文网其他相关文章!