Om Docker's benadering van applicatie-isolatie te begrijpen, is het belangrijk eerst te weten hoe virtuele machines (VM's) werken.

• Virtuele machines zijn softwarematige emulaties van fysieke computers;
• Elke VM draait zijn eigen volledige besturingssysteem (OS), samen met alle benodigde binaries, libraries en applicatiecode;
• De hypervisor (zoals VMware ESXi of Microsoft Hyper-V) bevindt zich tussen de hardware en de VM's;
• De hypervisor wijst hardwarebronnen toe—zoals CPU, geheugen en opslag—aan elke VM, waardoor meerdere VM's op één fysieke server kunnen draaien;
• Dit ontwerp biedt sterke isolatie tussen applicaties, waardoor het mogelijk is verschillende besturingssystemen en softwarestacks op dezelfde hardware te draaien;
• VM's zijn echter resource-intensief omdat elke VM een volledig besturingssysteem vereist, wat leidt tot een hoger geheugen- en opslaggebruik.

Typische gebruikssituaties voor VM's:

• Draaien van legacy-applicaties die specifieke besturingssystemen vereisen;
• Host van meerdere besturingssystemen op dezelfde hardware;
• Bieden van sterke beveiligingsgrenzen in bedrijfsomgevingen.

Containers: Lichtgewicht isolatie en gedeelde OS-kernel

Containers hanteren een andere benadering van applicatie-isolatie:

• Geen volledige machine-emulatie: In plaats van het emuleren van volledige machines, verpakken containers een applicatie met zijn afhankelijkheden;
• Gedeelde besturingssysteemkernel: Containers delen de OS-kernel van het hostsysteem, wat de resource-overhead vermindert;
• Procesisolatie: Elke container draait als een geïsoleerd proces in user space, gebruikmakend van OS-functies zoals namespaces en control groups voor scheiding;
• Minimaal resourcegebruik: Containers vereisen geen volledig besturingssysteem per instantie, waardoor ze aanzienlijk lichter zijn dan virtuele machines;
• Snelle opstart en hoge dichtheid: Containers starten vrijwel direct, verbruiken minder geheugen en schijfruimte, en maken het mogelijk om duizenden instanties op dezelfde hardware te draaien waar slechts enkele VM's passen;
• Ideaal voor moderne workflows: Deze lichtgewicht isolatie is perfect voor microservices, continuous integration/continuous deployment (CI/CD) pipelines en omgevingen die snelle schaalbaarheid en hoge portabiliteit vereisen;
• Consistentie tussen omgevingen: Door het delen van de OS-kernel maken containers het eenvoudiger om consistentie te behouden tussen ontwikkel-, test- en productieomgevingen.

Containers versus virtuele machines: Vergelijking naast elkaar

Het vergelijken van containers en virtuele machines (VM's) naast elkaar benadrukt hun belangrijkste verschillen en sterke punten:

Prestaties

• Containers vermijden de overhead van het draaien van meerdere besturingssystemen;
• Containers bieden snellere opstarttijden en lager resourcegebruik;
• VM's vereisen een volledig besturingssysteem per instantie, wat leidt tot hoger resourcegebruik.

Portabiliteit

• Containers blinken uit in portabiliteit; containerimages kunnen eenvoudig tussen omgevingen worden verplaatst;
• Applicaties in containers gedragen zich overal op dezelfde manier;
• VM's zijn minder draagbaar vanwege afhankelijkheid van specifieke hypervisors en grotere imagegroottes.

Schaalbaarheid

• Containers maken het mogelijk om veel meer instanties op dezelfde hardware te draaien;
• Containers schalen applicaties snel op of af op basis van de vraag;
• VM's zijn minder efficiënt voor snelle schaalvergroting.

Isolatie en beveiliging

• VM's bieden sterkere isolatie, waardoor ze de voorkeur hebben voor het draaien van verschillende besturingssystemen of applicaties met strikte beveiligingseisen;
• Containers bieden lichtgewicht isolatie, geschikt voor de meeste moderne applicatiescenario's.

Het begrijpen van deze verschillen helpt bij het kiezen van het juiste hulpmiddel voor uw behoeften bij het werken met Docker.