1、虚拟机
虚拟机理论上是一个真实的计算机操作系统的封装,它运行在物理设备之上,通过 Hypervisor 进行建立和运行虚拟机体系。
不同于虚拟机提供在物理硬件级别的操作系统隔离,容器技术提供的是操作系统级别的进程隔离,Docker 本身只是操作系统的一个进程,只是在容器技术下,进程之间网络、空间等等是隔离的,互不知道彼此。
二、Docker 的资源隔离:Namespace,Linux Namespace 是 Linux 提供的一种机制,可以实现不同资源的隔离。
三、Docker 的资源限制:cgroups
四、Docker 存储驱动:Union File Systems。AUFS 想象为一个可以 “栈式叠加” 的文件系统,AUFS 允许在一个基础的文件系统的上,“增量式” 的增加文件。
Docker 的镜像分层,正式通过 AUFS 通过分层结构、挂载等方式实现。在用户制作镜像的每一步,Docker 都会生成一个层,也就是增量 rootfs。
使用 Linux Namespace 进行网络、进程空间、命名空间等资源的隔离,使用 Cgroups 技术对资源的占用、使用量进行限制,使用 AUFS 等存储驱动来实现分层结构、增量更新等能力。