Docker 沙箱为何采用微虚拟机：架构原理与跨平台 VMM 实现

上周，Docker 推出了 Docker 沙箱，旨在提供业界最强的代理隔离能力。本文阐述了实现该目标的技术路径以及关键的架构决策。\n\n现有沙箱方案的局限\n- 完整虚拟机（Full VMs）：隔离能力强，但启动慢、资源占用大，不适合临时、高并发的代理工作负载。\n- 容器（Containers）：启动快，但在需要自行构建和运行 Docker 镜像的场景会出现 “Docker‑in‑Docker”，破坏隔离。\n- WASM/V8：启动极快，却只隔离应用层，安全性难以保障，且无法安装系统包或执行任意 shell 命令。\n- 不使用沙箱：虽快，却风险极高，一次误操作可能影响整台机器。\n\n微虚拟机（MicroVM）方案\nDocker 沙箱将每个代理会话放入独立的微虚拟机中，微虚拟机拥有私有的 Docker 守护进程，并与宿主完全隔离，核心要素包括：\n1. 专用微虚拟机：每个沙箱拥有自己的内核，提供与完整 VM 相同的硬件隔离。\n2. 私有 Docker 守护进程：代理可以在沙箱内完整执行 docker build、docker run、docker compose 等命令，无需依赖宿主权限。\n3. 无回主机路径：文件、网络和敏感信息在启动前即被限定，防止代理自行修改环境。\n\n为何自行研发 VMM\n现有微虚拟机运行时（如 Firecracker）仅面向云端 Linux/KVM 环境，不支持 macOS 与 Windows，无法满足跨平台开发需求。于是 Docker 从零实现了新 VMM，基于各平台原生虚拟化接口（Apple Hypervisor.framework、Windows Hypervisor Platform、Linux KVM），实现：\n- 跨平台兼容：同一套代码在 macOS、Windows、Linux 上均可运行。\n- 快速启动：去除多余抽象层，启动延迟极低。\n- 无性能损失：保持 VM 级别的隔离，同时具备容器级别的启动速度。\n\n实际效果\n- 代理可在沙箱内克隆代码、安装依赖、运行测试、构建 Docker 镜像，操作与真实环境一致。\n- 精细的权限与网络控制，确保安全。\n- 沙箱可随时销毁，无需清理宿主状态。\n- 支持多种代理（Claude Code、Codex、OpenCode 等），统一的隔离与性能体验。\n\n使用方式\n个人开发者可直接下载安装 Docker 沙箱，无需 Docker Desktop 许可证；企业可通过官方链接获取集中管理的部署方案。\n\n结论\n微虚拟机在安全性、启动速度和 Docker 完整性之间实现了平衡，提供了无需妥协的隔离方案，只需一条命令即可部署，适用于各种开发与部署场景。