Что такое гипервизор в контексте Docker?

Гипервизор в контексте Docker: уточнение терминологии

Прежде всего, важно внести ясность: Docker сам по себе не является и не использует гипервизор в традиционном понимании. Это распространённая терминологическая путаница, возникающая при сравнении виртуализации и контейнеризации. Давайте разберём детально.

Что такое гипервизор (классическое определение)

Гервизор (Hypervisor) — это программное или аппаратное обеспечение, которое создаёт и запускает виртуальные машины (VM). Он работает на уровне аппаратного обеспечения (хоста), напрямую управляя физическими ресурсами (CPU, память, диски) и распределяя их между изолированными гостевыми операционными системами (Guest OS). Каждая виртуальная машина содержит полную копию ОС, приложения и все необходимые библиотеки. Примеры: VMware ESXi, Microsoft Hyper-V, KVM, Xen.

# Пример: проверка работы KVM (гипервизора) в Linux
$ lsmod | grep kvm
kvm_intel             348160  0
kvm                   987136  1 kvm_intel

Почему Docker НЕ использует гипервизор?

Docker реализует технологию контейнеризации, а не виртуализации. Вместо эмуляции целой операционной системы, контейнеры разделяют ядро хостовой ОС (Linux, Windows), но изолируют процессы, файловую систему и сеть на уровне пользовательского пространства (user-space). За эту изоляцию отвечает не гипервизор, а ядро операционной системы через механизмы:

• cgroups (control groups): Ограничивает и изолирует использование ресурсов (CPU, память, диск).
• namespaces: Изолирует процессы, сеть, пользователей, файловую систему.
• Union File Systems (OverlayFS, AUFS): Обеспечивают слоистую файловую систему для образов контейнеров.

# Dockerfile – это инструкции для сборки образа, а не виртуальной машины
FROM ubuntu:22.04
RUN apt-get update && apt-get install -y nginx
CMD ["nginx", "-g", "daemon off;"]

Docker Engine vs. Гипервизор

Архитектурное сравнение:

Традиционная виртуализация (с гипервизором):

Приложение -> Библиотеки -> Гостевая ОС -> Гипервизор -> Хостовая ОС -> Железо

Контейнеризация Docker:

Приложение -> Библиотеки -> Docker Engine (демон) -> Хостовая ОС (ядро) -> Железо

Когда Docker всё же может "встретиться" с гипервизором?

1. Запуск Docker на виртуальной машине: Например, Docker Engine работает внутри VM на VMware, что типично для облачных сред или разработки на macOS/Windows через Docker Desktop.
2. Docker на Windows: Для Linux-контейнеров Windows использует гипервизор Hyper-V для создания легковесной виртуальной машины (LinuxKit), так как ядра Windows и Linux несовместимы. Для Windows-контейнеров Hyper-V создаёт изоляцию через отдельные utility VM.
3. gVisor, Kata Containers: Это проекты, добавляющие уровень "псевдо-гипервизора" для усиленной безопасности контейнеров, создавая микро-ВМ или песочницы вокруг каждого контейнера.

Ключевые отличия и преимущества подхода Docker

• Производительность: Контейнеры запускаются мгновенно, так как нет необходимости загружать полноценную ОС. Они используют ресурсы хоста напрямую, с минимальными накладными расходами (<5%).
• Плотность размещения: На одном хосте можно запустить в десятки раз больше контейнеров, чем ВМ, благодаря общему ядру и отсутствию дублирования ОС.
• Переносимость: Образ контейнера содержит всё необходимое приложение и его зависимости, что гарантирует идентичное поведение на любой системе с Docker.
• Управляемость: Декларативный подход через Dockerfile и простые CLI-команды для жизненного цикла (docker build, docker run, docker compose).

Вывод

Термин "гипервизор" неприменим к ядру технологии Docker. Docker — это платформа контейнеризации, использующая возможности ядра ОС для легковесной изоляции процессов. Однако, в гибридных средах гипервизоры и Docker часто работают вместе, образуя многоуровневые инфраструктуры (например, сотни контейнеров, работающих на кластере виртуальных машин в Kubernetes), что обеспечивает гибкость, изоляцию и эффективное использование ресурсов.