概要
docker是近年來新興的虛擬化工具,它可以和虛擬機一樣實現資源和系統環境的隔離。本文將主要根據IBM發表的研究報告,論述docker與傳統虛擬化方式的不同之處,並比較物理機、docker容器、虛擬機三者的性能差異及差異產生的原理。
docker與虛擬機實現原理比較
如下圖分別是虛擬機與docker的實現框架。 
比較兩圖的差異,左圖虛擬機的Guest OS層和Hypervisor層在docker中被Docker Engine層所替代。虛擬機的Guest OS即爲虛擬機安裝的操作系統,它是一個完整操作系統內核;虛擬機的Hypervisor層可以簡單理解爲一個硬件虛擬化平臺,它在Host OS是以內核態的驅動存在的。
虛擬機實現資源隔離的方法是利用獨立的OS,並利用Hypervisor虛擬化CPU、內存、IO設備等實現的。例如,爲了虛擬CPU,Hypervisor會爲每個虛擬的CPU創建一個數據結構,模擬CPU的全部寄存器的值,在適當的時候跟蹤並修改這些值。需要指出的是在大多數情況下,虛擬機軟件代碼是直接跑在硬件上的,而不需要Hypervisor介入。只有在一些權限高的請求下,Guest OS需要運行內核態修改CPU的寄存器數據,Hypervisor會介入,修改並維護虛擬的CPU狀態。
Hypervisor虛擬化內存的方法是創建一個shadow page table。正常的情況下,一個page table可以用來實現從虛擬內存到物理內存的翻譯。在虛擬化的情況下,由於所謂的物理內存仍然是虛擬的,因此shadow page table就要做到:虛擬內存->虛擬的物理內存->真正的物理內存。
對於IO設備虛擬化,當Hypervisor接到page fault,並發現實際上虛擬的物理內存地址對應的是一個I/O設備,Hypervisor就用軟件模擬這個設備的工作情況,並返回。比如當CPU想要寫磁盤時,Hypervisor就把相應的數據寫到一個host OS的文件上,這個文件實際上就模擬了虛擬的磁盤。
對比虛擬機實現資源和環境隔離的方案,docker就顯得簡練很多。docker Engine可以簡單看成對Linux的NameSpace、Cgroup、鏡像管理文件系統操作的封裝。docker並沒有和虛擬機一樣利用一個完全獨立的Guest OS實現環境隔離,它利用的是目前Linux內核本身支持的容器方式實現資源和環境隔離。簡單的說,docker利用namespace實現系統環境的隔離;利用Cgroup實現資源限制;利用鏡像實現根目錄環境的隔離。
通過docker和虛擬機實現原理的比較,我們大致可以得出一些結論:
(1)docker有着比虛擬機更少的抽象層。由於docker不需要Hypervisor實現硬件資源虛擬化,運行在docker容器上的程序直接使用的都是實際物理機的硬件資源。因此在CPU、內存利用率上docker將會在效率上有優勢,具體的效率對比在下幾個小節裏給出。在IO設備虛擬化上,docker的鏡像管理有多種方案,比如利用Aufs文件系統或者Device Mapper實現docker的文件管理,各種實現方案的效率略有不同。
(2)docker利用的是宿主機的內核,而不需要Guest OS。因此,當新建一個容器時,docker不需要和虛擬機一樣重新加載一個操作系統內核。我們知道,引導、加載操作系統內核是一個比較費時費資源的過程,當新建一個虛擬機時,虛擬機軟件需要加載Guest OS,這個新建過程是分鐘級別的。而docker由於直接利用宿主機的操作系統,則省略了這個過程,因此新建一個docker容器只需要幾秒鐘。另外,現代操作系統是複雜的系統,在一臺物理機上新增加一個操作系統的資源開銷是比較大的,因此,docker對比虛擬機在資源消耗上也佔有比較大的優勢。事實上,在一臺物理機上我們可以很容易建立成百上千的容器,而只能建立幾個虛擬機。
docker與虛擬機計算效率比較
在上一節我們從原理的角度推測docker應當在CPU和內存的利用效率上比虛擬機高。在這一節我們將根據IBM發表的論文給出的數據進行分析。以下的數據均是在IBM x3650 M4服務器測得,其主要的硬件參數是:
(1)2顆英特爾xeon E5-2655 處理器,主頻2.4-3.0 GHz。每顆處理器有8個核,因此總共有16個核。
(2)256 GB RAM.
在測試中是通過運算Linpack程序來獲得計算能力數據的。結果如下圖所示: 
圖中從左往右分別是物理機、docker和虛擬機的計算能力數據。可見docker相對於物理機其計算能力幾乎沒有損耗,而虛擬機對比物理機則有着非常明顯的損耗。虛擬機的計算能力損耗在50%左右。
爲什麼會有這麼大的性能損耗呢?一方面是因爲虛擬機增加了一層虛擬硬件層,運行在虛擬機上的應用程序在進行數值計算時是運行在Hypervisor虛擬的CPU上的;另外一方面是由於計算程序本身的特性導致的差異。虛擬機虛擬的cpu架構不同於實際cpu架構,數值計算程序一般針對特定的cpu架構有一定的優化措施,虛擬化使這些措施作廢,甚至起到反效果。比如對於本次實驗的平臺,實際的CPU架構是2塊物理CPU,每塊CPU擁有16個核,共32個核,採用的是NUMA架構;而虛擬機則將CPU虛擬化成一塊擁有32個核的CPU。這就導致了計算程序在進行計算時無法根據實際的CPU架構進行優化,大大減低了計算效率。
docker與虛擬機內存訪問效率比較
內存訪問效率的比較相對比較複雜一點,主要是內存訪問有多種場景:
(1)大批量的,連續地址塊的內存數據讀寫。這種測試環境下得到的性能數據是內存帶寬,性能瓶頸主要在內存芯片的性能上;
(2)隨機內存訪問性能。這種測試環境下的性能數據主要與內存帶寬、cache的命中率和虛擬地址與物理地址轉換的效率等因素有關。
以下將主要針對這兩種內存訪問場景進行分析。在分析之前我們先概要說明一下docker和虛擬機的內存訪問模型差異。下圖是docker與虛擬機內存訪問模型: 
可見在應用程序內存訪問上,虛擬機的應用程序要進行2次的虛擬內存到物理內存的映射,讀寫內存的代價比docker的應用程序高。
下圖是場景(1)的測試數據,即內存帶寬數據。左圖是程序運行在一塊CPU(即8核)上的數據,右圖是程序運行在2塊CPU(即16核)上的數據。單位均爲GB/s。 
從圖中數據可以看出,在內存帶寬性能上docker與虛擬機的性能差異並不大。這是因爲在內存帶寬測試中,讀寫的內存地址是連續的,大批量的,內核對這種操作會進行優化(數據預存取)。因此虛擬內存到物理內存的映射次數比較少,性能瓶頸主要在物理內存的讀寫速度上,因此這種情況docker和虛擬機的測試性能差別不大;
內存帶寬測試中docker與虛擬機內存訪問性能差異不大的原因是由於內存帶寬測試中需要進行虛擬地址到物理地址的映射次數比較少。根據這個假設,我們推測,當進行隨機內存訪問測試時這兩者的性能差距將會變大,因爲隨機內存訪問測試中需要進行虛擬內存地址到物理內存地址的映射次數將會變多。結果如下圖所示。 
左圖是程序運行在一個CPU上的數據,右圖是程序運行在2塊CPU上的數據。從左圖可以看出,確實如我們所預測的,在隨機內存訪問性能上容器與虛擬機的性能差距變得比較明顯,容器的內存訪問性能明顯比虛擬機優秀;但出乎我們意料的是在2塊CPU上運行測試程序時容器與虛擬機的隨機內存訪問性能的差距卻又變的不明顯。
針對這個現象,IBM的論文給出了一個合理解釋。這是因爲當有2塊CPU同時對內存進行訪問時,內存讀寫的控制將會變得比較複雜,因爲兩塊CPU可能同時讀寫同一個地址的數據,需要對內存數據進行一些同步操作,從而導致內存讀寫性能的損耗。這種損耗即使對於物理機也是存在的,可以看出右圖的內存訪問性能數據是低於左圖的。2塊CPU對內存讀寫性能的損耗影響是非常大的,這個損耗佔據的比例遠大於虛擬機和docker由於內存訪問模型的不同產生的差異,因此在右圖中docker與虛擬機的隨機內存訪問性能上我們看不出明顯差異。
docker與虛擬機啓動時間及資源耗費比較
上面兩個小節主要從運行在docker裏的程序和運行在虛擬機裏的程序進行性能比較。事實上,docker之所以如此受到開發者關注的另外一個重要原因是啓動docker的系統代價比啓動一臺虛擬機的代價要低得多:無論從啓動時間還是從啓動資源耗費角度來說。docker直接利用宿主機的系統內核,避免了虛擬機啓動時所需的系統引導時間和操作系統運行的資源消耗。利用docker能在幾秒鐘之內啓動大量的容器,這是虛擬機無法辦到的。快速啓動、低系統資源消耗的優點使docker在彈性雲平臺和自動運維繫統方面有着很好的應用前景。
docker的劣勢
前面的內容主要論述docker相對於虛擬機的優勢,但docker也不是完美的系統。相對於虛擬機,docker還存在着以下幾個缺點:
1.資源隔離方面不如虛擬機,docker是利用cgroup實現資源限制的,只能限制資源消耗的最大值,而不能隔絕其他程序佔用自己的資源。
2.安全性問題。docker目前並不能分辨具體執行指令的用戶,只要一個用戶擁有執行docker的權限,那麼他就可以對docker的容器進行所有操作,不管該容器是否是由該用戶創建。比如A和B都擁有執行docker的權限,由於docker的server端並不會具體判斷docker cline是由哪個用戶發起的,A可以刪除B創建的容器,存在一定的安全風險。
3.docker目前還在版本的快速更新中,細節功能調整比較大。一些核心模塊依賴於高版本內核,存在版本兼容問題
參考文獻
- Felter W, Ferreira A, Rajamony R, et al. An Updated Performance Comparison of Virtual Machines and Linux Containers[J]. technology, 2014, 28: 32.
- http://www.zhihu.com/question/20848931