访谈 | Docker公司首席布道师谈容器和下一代虚拟化

从宏观角度来看，容器更像是轻量化的虚拟机。你可以在容器中安装任何你想要的软件，容器相对独立且不会影响其它容器或者宿主环境。每一个容器有它自己的网络堆栈、进程空间、文件系统等。同时，他们的成本要远小于虚拟机：容器启动更快、占用更少的内存和硬盘空间。从底层角度来看，这都是因为容器只是宿主机上的一个进程，利用内核特征如命名空间和组管理来提供这种隔离。启动一个容器只是启动了一个普通的UNIX进程；创建一个容器只是复制了一个copy-on-wirte文件系统的镜像。


Docker与其它容器技术不同，因为它不只是一个容器引擎。Docker是一个平台，整合了Docker引擎、Docker Hub以及一系列的生态工具，如Docker Compose、Docker Machine、Docker Swarm等。这些都采用开发API。

有人说Docker是一个“容器的hypervisor”，但是许多人并不这么认为，这是因为hypervisor通常是管理虚拟机，而Docker是管理容器。在底层技术细节也是不同的。当hypervisor启动虚拟机时，它会创建虚拟硬件，并利用特定CPU基础结构和特性，如VT-x、AMD-x或者权限层级。当Docker创建一个容器，它利用的是内核的特性，如命名空间、群组管理，而不依赖硬件特性。


这意味着容器在某种意义上说更具有可移植性，因为它们可以同时在物理机或者虚拟机上运行；但是他们从另外某种意义上来说，也更不容易移植，因为容器必须使用宿主的内核。这意味着，你不能运行一个Windows容器在Linux内核上（除非Linux内核可以执行Windows二进制程序）。

Docker有个“卷”的概念，使得宿主机和容器间可以共享目录。卷从概念上与虚拟机的“共享文件夹”有点类似，只是他们不需要在容器上做任何配置，并且它们是零开销的，因为他们采用的是绑定挂载实现。


当你的数据在硬盘（可以是一个具体的硬盘、RAID、其他挂载网络上的设备或者其他的任何设备）上，挂载到容器主机上的最简便的方法就是通过“卷”机制来暴露给容器。


Docker同样有插件机制，支持容器为其它容器提供存储。这意味着我们可以在容器中搭建Ceph、Gluster或者其它存储集群，然后将块设备和挂载点暴露给其它容器。

就像在容器技术之前我们做的一样：网络存储、分布式文件系统、数据传输或者同步（利用rsync、unison等）。当使用容器时，有两个优势。首先，容器不会影响用户存取数据的方式。例如，如果从DRBD迁移到Ceph，容器并不需要知道这个细节；事实上，同一个容器在本地存储或者分布式存储上运行是一样的。另一个优势来自于那些新的存储插件。如果我们可以将应用容器和存储容器分开，那这些插件可以让用户获取数据更容易。

Docker提供了相关的API来对比容器和它的基础镜像，同时也可以根据现有的容器来创建新的镜像。API对应的命令是 docker diff和 docker commit。

构建一个高可用的系统需要做很多的事情，Docker让这一切变得无比简单。例如，确保部署时相关机器上软件版本的一致性。Docker不会自动的解决问题，但是它可以让事情变得更加简单、快捷和可信，就像一个包管理器通常比从源代码编译更可靠。

通常来看，Docker一开始只是做为一个开发工具来保证用户有一个一致、可复制的开发环境，类似Hashicorp的Vagrant。紧接着会被用到CI/CD中，来减少测试次数。总之，整体来看它目前可适用于生产环境的前一个阶段，但是当用户已经积累了足够的经验和自信来运行Docker时，它就可以服务生产环境了。