掌握聚合最新动态了解行业最新趋势
API接口,开发服务,免费咨询服务

细说Windows与Docker之间的趣事

InfoQ授权发布,转载请联系InfoQ微信公众号【ID:infoqchina】

众所周知,Docker能打通开发和运维的任督二脉,所谓DevOps是也。有朋友说,这符合王阳明的"知行合一"之教。

而Windows Server 2016内置的Windows Docker亦已经出来一段时间,这里就来和诸公汇报一下测试结果。

Linux和Windows,Docker里各有多少进程


在安装配置Container Host的时候,经常报错Container OS Image下载失败(没办法,墙内的缘故)。

什么是Container OS?顾名思义,是从容器角度看到的OS。

Container OS实际是应用所依赖的用户模式(User mode)OS组件,对于Windows容器来说,例如ntdll.dll、kernel32.dll或者coresystem.dll之类的System DLL。主机上的所有容器共享内核模式(Kernel mode)OS组件,对于Windows,就是ntoskrnl.exe,还有驱动等。

例如对于以下命令,意味着Windows系统从docker映像中获取Windows Server Core的用户模式OS组件,并启动cmd获得Shell。

docker run -it windowsservercore cmd

Linux也是一理,如果运行以下命令,意味着从docker映像中获取Ubuntu的用户模式组件,并且启动Bash Shell。

docker run -it ubuntu /bin/bash

对于以上两个容器,Linux容器里的进程比较少,可以参考以下截图:

而Windows容器,则情况略有不同。

在Windows主机上启动Process Explorer,可以看到这个Windows容器的进程相对多一些:

这是因为在Windows系统中,需要给应用提供一些用户模式的系统服务,例如DNS、DHCP、RPC等服务,这样从容器的角度来看,容器获得了自己独有的服务(一般是在各自的svchost或者其他服务宿主进程里运行),构成了所谓的Container OS。

我们可以用PowerShell命令查看容器内部启动的Windows服务,大概有27个,参考附图。

很可惜,这个版本的Windows docker里,虽然有远程桌面服务,但是目前还不支持远程桌面到容器,所以无法使用容器应用的图形化界面。

容器里的应用,到底应该启动多少Windows服务?由于Windows服务的具体作用是非文档化的,所以不像Linux可以做到最精简。但是由于这些服务几乎不占用什么额外的资源,对于容器性能没有影响。

Windows容器的进程如何隔离


由于在最新的测试版本里,容器对象的权限设置有了改变,只有SYSTEM权限才能查看。所以要查看Windows容器的进程隔离,需要用SYSTEM权限启动Winobj。这可以借助Psexec来实现:

Psexec -i -d -s winobj.exe

可以看到Windows对象空间里多了一个Containers的节点,其下有若干个GUID分支,这些GUID代表系统里的容器。其下每个容器有自己独立的BaseNamedObjects等命名空间,包括互斥信号量、内存Section、事件等。

可以用PowerShell查看容器的GUID,参考附图。

每个容器节点下,有自己的Session分支,例如该容器,占据了Windows系统的Session 2。如附图所示。

这就是为什么,不管用任务管理器,还是PowerShell,抑或是Process Explorer等工具,我们都在Windows主机里看到容器里的所有进程都会标记Session为2。

借助Process Explorer,我们可以看到容器里的进程,所打开的Handle,其中就指向先前所看到的Windows容器对象命名空间。

同时还能看到,容器进程所在的WindowStation并不是WinSta0,而是Service-0x0-3e7$,3e7的10进制等于999,等于九五之尊,这是SYSTEM服务所在的窗口站。所以容器进程无法在Windows桌面上拥有图形化界面。

还可以查看一个有意义的对象,Windows容器所挂载的主机目录,类似于Linux容器的Volume。

Windows容器的文件系统如何隔离


和Linux一样,Windows容器映像采用分层的文件系统,基于映像创建容器后,相当于在只读的分层文件系统上再覆盖一层可读写的文件系统层。如果要修改的文件在最上层的可读写层里没有,则沿着分层的Layer找到目标文件后,将其用COW(Copy on write:写时复制)复制到可读写层再修改。

让我们进入到Windows主机的以下目录:

C:\ProgramData\Microsoft\Windows\Hyper-V\Containers

该目录下列出所有通过PowerShell命令创建的容器文件。其下有文件夹和文件,都以容器的GUID来命名。

其中的926A300B-ACB7-4B28-9D86-45BF82C1211C.vhdx就是该容器的最上层的可读写层,是一个VHDX文件。

记住该可读写层并不是一个完整的文件系统,它需要和Image的现有文件系统组成Union File System。如果尝试双击该VHDX(只能尝试挂载停止状态的容器VHDX),试图挂载到Windows系统,会弹出以下报错信息,提示该虚拟硬盘无法挂载。

Image的文件系统位于以下路径(Windows Server Core的Container OS文件):

C:\ProgramData\Microsoft\Windows\Images\CN=Microsoft_WindowsServerCore_10.0.10586.0\Files

如果用Process Explorer查看容器进程访问的Dll,可以看到其访问的路径为Container OS文件。

如果是用docker命令创建的进程,道理类似,但是其可读写层文件系统位于以下路径:

C:\ProgramData\docker\windowsfilter

Windows容器还有注册表


和Linux不一样,Windows容器还需要考虑注册表的隔离问题。和文件系统命名空间隔离一样,注册表命名空间隔离也采用类似Union FS形式。

下面让我们进入PowerShell命令创建的Windows容器文件夹内部。

C:\ProgramData\Microsoft\Windows\Hyper-V\Containers\926A300B-ACB7-4B28-9D86-45BF82C1211C\Hives

在这个Hives文件夹下方,有很多命名为*_Delta的文件,这是容器所访问的注册表配置单元文件。

从命名方式中可以看到,容器的注册表和文件系统一样,也采用分层架构,最上层的是可读写的注册表命名空间。而Image映像也有只读部分的注册表空间,路径如下。

C:\ProgramData\Microsoft\Windows\Images\CN=Microsoft_WindowsServerCore_10.0.10586.0\Hives

在Process Explorer里可以看到可读写层、只读层注册表合并后所加载的内容。

Docker命令所创建的容器,方法类似,位于类似以下路径:

Windows容器的资源限制


大家知道,Docker可以调用CGroup技术来限制Linux容器的CPU、内存等资源占用。而在Windows容器里,内存资源的限制,则是通过Windows的JO(作业对象)技术来实现。

可以参考以下技术来限定Windows容器的CPU、内存和磁盘IO。例如可以将容器的内存限定为最大占用为5GB。

https://msdn.microsoft.com/en-us/virtualization/windowscontainers/management/manage_resources?f=255&MSPPError=-2147217396

然后用Process Explorer打开任意一个容器进程的属性对话框,切换到Job标签页。

可以看到所有容器进程共享一个作业对象,而且该作业对象的内存限额(Job Memory Limit)为5GB。

【作者简介彭爱华 网名盆盆,微软混合云技术顾问。11届微软最有价值专家(MVP),微软高级认证讲师。出版过近20本技术图书,2005年创建ITECN博客(09年全国IT博客五十强)。微信公众号(华来四笑侃Windows):sysinternal。曾获得微软技术大会TechEd最佳讲师、中国首届IT管理技术大会(2009)最佳讲师的光荣称号。】


声明:所有来源为“聚合数据”的内容信息,未经本网许可,不得转载!如对内容有异议或投诉,请与我们联系。邮箱:marketing@think-land.com

  • 人脸四要素

    根据给定的手机号、姓名、身份证、人像图片核验是否一致

    根据给定的手机号、姓名、身份证、人像图片核验是否一致

  • 个人/企业涉诉查询

    通过企业关键词查询企业涉讼详情,如裁判文书、开庭公告、执行公告、失信公告、案件流程等等。

    通过企业关键词查询企业涉讼详情,如裁判文书、开庭公告、执行公告、失信公告、案件流程等等。

  • IP反查域名

    IP反查域名是通过IP查询相关联的域名信息的功能,它提供IP地址历史上绑定过的域名信息。

    IP反查域名是通过IP查询相关联的域名信息的功能,它提供IP地址历史上绑定过的域名信息。

  • 人脸卫士

    结合权威身份认证的精准人脸风险查询服务,提升人脸应用及身份认证生态的安全性。人脸风险情报库,覆盖范围广、准确性高,数据权威可靠。

    结合权威身份认证的精准人脸风险查询服务,提升人脸应用及身份认证生态的安全性。人脸风险情报库,覆盖范围广、准确性高,数据权威可靠。

  • 全国城市空气质量

    全国城市和站点空气质量查询,污染物浓度及空气质量分指数、空气质量指数、首要污染物及空气质量级别、健康指引及建议采取的措施等。

    全国城市和站点空气质量查询,污染物浓度及空气质量分指数、空气质量指数、首要污染物及空气质量级别、健康指引及建议采取的措施等。

0512-88869195
数 据 驱 动 未 来
Data Drives The Future