《KVM实战:原理、进阶与性能调优》 —1.4.4　Container

1.4.4　Container

Container严格来说与前面提到的虚拟化软件不是一个大类，首先，它不是某个虚拟化软件，而是某类软件的统称，包括Docker和LXC等；其次，它不是硬件平台级的虚拟化技术，而是软件运行环境的虚拟化，是一种操作系统级的虚拟化技术，与前面提到的不是一个层次的。

Container技术利用了Linux kernel提供的cgroup、namespace等机制，将应用之间隔离起来，好像自己是操作系统上的唯一一个应用似的。而Linux kernel除了封装出这些应用单独的运行环境以外，还可以控制分配给各个应用的资源配额，比如CPU利用率、内存、网络带宽等。

与平台虚拟化技术相比，Container技术省去了启动和维护整个虚拟客户机的开销（硬件初始化、Kernel boot、init等），因而它非常轻量级，非常适用于PaaS服务模型。但另一方面，由于各个Contained instance其实还是共用一个OS、一个Kernel，所以安全性比不上平台虚拟化技术。总而言之，Container和KVM等平台虚拟化技术，目前还是各有所长，还处在相互取长补短的过程中。