1 基本概念

1.1 虛擬機（VM）

虛擬機是一種通過硬件虛擬化創建的計算環境。每個虛擬機包含完整的操作系統、應用程序及其依賴。運行在物理服務器上的虛擬機可以被視為獨立計算機，具有自己的虛擬硬件，包括虛擬CPU、內存、網絡接口等。

虛擬化技術的重要概念包括：

虛擬化、Hypervisor（虛擬機監控器，VMM）、虛擬機、虛擬環境、資源池化和虛擬網絡。

常見的虛擬化產品：

免費產品：VirtualBox，Proxmox VE，KVM，XenServer

收費產品：VMware vSphere，VMware Workstation,Hyper-V，華為的FusionCompute，Red Hat Virtualization

1.2 容器

容器是一種輕量級的虛擬化技術，允許開發者在共享的操作系統內核上運行應用程序。容器只包含應用及其依賴的庫和環境配置，而不包含完整的操作系統。容器通常通過容器引擎（如 Docker）管理，支持快速部署和彈性擴展。

容器的幾個重要概念包括：

鏡像（Image），鏡像倉庫（registry），容器（Container），容器網絡（Network），數據卷（Volume）。

常見的容器產品：Docker，Podman，LXC (Linux Containers)，Containerd，rkt (Rocket)，CoreOS。

2  二者區別

下圖是虛擬機和容器的主要區別

下面從更細的維度來了解二者的區別

2.1  架構與資源分配

虛擬機架構：

每個虛擬機運行自己的操作系統，這使得虛擬機在操作系統層面完全隔離。資源分配通常為靜態配置，定義虛擬機啟動時的 CPU、內存和存儲。例如，可以為虛擬機分配 4GB 內存和 2 個虛擬CPU，但在運行過程中不容易調整。使用 虛擬硬盤（VMDK、VHD 等） 存儲虛擬機的數據，每個虛擬機的數據完全隔離。

容器架構：

容器共享宿主機的操作系統內核，但彼此之間運行在獨立的用戶空間。資源使用是動態的，能夠在運行時根據負載調整。通過 Docker 等工具，可以設置 CPU 限制、內存限制等。使用 容器鏡像 來打包應用及其依賴，這使得容器可以輕松部署和復制。

2.2 性能比較

虛擬機性能：

啟動時間通常較長，取決于操作系統的啟動時間，可能需要幾分鐘。虛擬機的性能開銷較大，尤其在高并發負載下，Hypervisor 可能成為瓶頸。一些應用可能會因為額外的虛擬化層導致性能下降，特別是高性能計算（HPC）場景。

容器性能：

容器啟動速度極快，通常在幾秒鐘內。容器的資源開銷小，因為它們共享內核。可以在同一臺物理服務器上運行數十個甚至數百個容器，極大提高資源利用率。適合微服務架構，因為不同的服務可以獨立擴展，且彼此之間不相互影響。

2.3 資源利用率

虛擬機利用率：

資源利用率受限于分配的靜態資源，往往在低負載情況下資源浪費嚴重。資源管理需要手動調整配置，隨著工作負載的變化，可能會導致性能問題。

容器利用率：

容器可以根據需求動態分配資源，運行多個容器時能更好地利用硬件資源。可以在高峰期快速擴展容器數量，以應對突發的流量需求，使用 Kubernetes 等工具可以實現自動擴展。

2.4  可移植性

虛擬機可移植性：

虛擬機的遷移較為復雜，需要確保虛擬硬件的兼容性和配置一致性，尤其在不同 Hypervisor 之間遷移時。遷移過程中需要考慮存儲、網絡配置等因素，整體流程較為繁瑣。

容器可移植性：

容器具有極高的可移植性，可以在任何支持 Docker 的環境中運行，確保在不同開發、測試、生產環境中的一致性。使用標準化的容器鏡像，使得應用的開發、測試和部署變得簡單快捷。

2.5 安全性與隔離

虛擬機安全性：

每個虛擬機有獨立的操作系統，安全性較高；如果一個虛擬機遭受攻擊，其他虛擬機不會受到影響。然而，Hypervisor 的安全性至關重要，一旦被攻破，可能導致所有虛擬機的安全隱患。

容器安全性：

由于共享宿主內核，容器的安全性較弱。惡意代碼可能通過內核漏洞影響其他容器。需要在容器設計和運行時實施嚴格的安全措施，包括：使用最小權限原則，限制容器的權限。使用網絡策略，限制容器之間的網絡通信。定期掃描容器鏡像，檢測已知漏洞。