Контейнери в Windows: кога наистина имат смисъл

  • Контейнерите в Windows изолират приложенията, като споделят ядрото на хоста, което намалява консумацията на ресурси в сравнение с пълните виртуални машини.
  • Екосистемата на Microsoft предлага цялостна поддръжка за контейнери с Docker, Visual Studio, Azure Container Registry и Azure Kubernetes Service.
  • Контейнеризирането в Windows предлага ясни предимства по отношение на внедряването, преносимостта и сигурността, въпреки че изисква адаптиране на практиките за разработка и експлоатация.
  • Изборът между контейнери и виртуални машини зависи от случая на употреба: силната изолация и разнообразните системи са в полза на виртуалните машини; скоростта и плътността са в полза на контейнерите.
Daniel Terrasa

16 Minutos

контейнери в Windows

Ако идвате от света на разработката или „хардкор“ компютърните науки, е много вероятно контейнери в Windows Може да звучат като нещо средно между магия и маркетинг. И ако сте се борили и с портове, SSL сертификати или внедрявания, които се провалят на Linux, но работят на вашия компютър с Windows, нормално е да се чудите дали всички тези разговори за... Докер на WindowsKubernetes и подобни технологии наистина имат смисъл в среда на Microsoft.

Реалността е, че Контейнерите в Windows имат много повече смисъл, отколкото изглежда.Но те не винаги са подходящи за всяка ситуация или сценарий. В тази статия ще разгледаме по-подробно какво представляват контейнерите (без да ги бъркаме с виртуални машини), как конкретно работят в Windows, техните предимства и недостатъци в сравнение с виртуалните машини, тяхната роля в разработка, производство и OT/PLC среди, както и кога си струва да се използват... и кога може би е по-добре да се придържаме към старите начини.

Какво точно е контейнер (също и в Windows)?

Контейнерът е, по същество, лек, изолиран софтуерен пакет То включва приложение и всичко необходимо за изпълнение: библиотеки, зависимости, конфигурация, системни файлове в потребителски режим и др. Вместо да носи пълна операционна система като виртуална машина, то споделя ядрото на хост операционната система.

Можете да си представите контейнер като кутията е много добре запечатана Разкрива само абсолютно необходимото. Вътре поставяте приложението си (например Icecast сървър, SCADA система или .NET API), плюс точните библиотеки и инструменти, от които се нуждае. Отвън тази кутия се държи като самостоятелна мини-система, но в действителност разчита на основното ядро ​​на Windows или Linux.

В Windows контейнерите работят, като използват функционалност на контейнера, интегрирана в системата (Windows Server 2016 или по-нова версия и Windows 10/11 от версия 1607 за разработка). Това означава, че можете да стартирате контейнери на Windows директно на Windows Server.

За разработчика или администратора ключовият момент е контейнерът да предлага предвидима и възпроизводима средаТова, което работи на вашия лаптоп, ще работи по същия начин и на сървъра, в облака или на периферията, защото всичко пътува пакетирано в един и същ образ.

В Windows системи тази възможност е особено полезна за .NET Framework приложения, .NET приложения, услуги на Windows Server или остарял софтуер, който искате да изолирате, пакетирате и преместите, без да преконфигурирате половината система всеки път.

Как работят контейнерите в Windows

Как контейнерите се вписват в екосистемата на Microsoft

Microsoft е приела този проблем много сериозно и предлага сравнително завършена екосистема да работи с контейнери, както за Windows, така и за Linux, обхващайки всичко - от локално разработване до масово внедряване в облака.

В секцията за разработка можете Стартиране на контейнери в Windows 10/11 Използвайки Docker Desktop, който използва функционалността на контейнерите на Windows, или WSL2 за Linux, можете лесно да стартирате контейнеризирани услуги на вашия работен компютър за тестване, отстраняване на грешки и подготовка на изображения.

Инструменти като Visual Studio и Visual Studio Code Те имат вградена поддръжка за Docker, администриране с Docker ComposeKubernetes и Helm. Това ви позволява лесно да добавите Dockerfile към проекта, да отстраните грешки в контейнер или да генерирате необходимите дефиниции за внедряване в клъстери на Kubernetes.

След като сте опаковали приложението си, можете публикуване на изображения на контейнери в логТук влизат в действие Docker Hub (публични) или частни регистри като Azure Container Registry (ACR), където вашата организация контролира кой качва, кой изтегля и кои версии се използват във всяка среда и как. разполагане на контейнери на отдалечени сървъри.

Що се отнася до широкомащабното внедряване, звездният елемент е Услуга Azure Kubernetes (AKS)Това ви позволява да оркестрирате десетки, стотици или хиляди контейнери на виртуални машини на Azure, независимо дали са персонализирани Windows сървъри или Linux дистрибуции като Ubuntu. Имате и хибридни опции с Azure Arc, AKS на Azure Stack Hub или интеграции с OpenShift в локални среди.

Локално, ако не искате да разчитате на Azure, това е напълно възможно. изграждане на Kubernetes на Windows Server самостоятелно или използвайте други платформи, които Microsoft поддържа или интегрира, като например Red Hat OpenShift с поддръжка на контейнери за Windows.

Как контейнерите работят вътрешно в Windows

Контейнерът на Windows е по същество процес или набор от процеси които работят върху ядрото на операционната система. Но (това е важно) с изолиран изглед на системата. Този „филтриран изглед“ се отнася за файловата система, системния регистър, мрежата и други ресурси.

Интересното е, че контейнерът Той няма директен и неограничен достъп до ядрото.Въпреки че го споделя, той вижда виртуализирана (на много пластове) файлова система, изолиран регистър и ресурси, които контейнерният енджин представя като „негови собствени“. Но в действителност те се управляват от хоста.

Промените, които правите в работещ контейнер, се прилагат към ефимерен слой за писанеКогато контейнерът се изключи, този слой може да бъде изхвърлен, връщайки системата в оригиналното състояние на образа. Ако искате наистина да съхраните данни, монтирате външни томове или ресурси за съхранение (дискове, SMB споделяния, Azure файлове и др.).

Microsoft предлага няколко официални базови изображения Шаблони за Windows, върху които да изградите контейнерите си:

  • WindowsГолямо изображение с почти всички Windows API и услуги (без сървърни роли).
  • Windows ServerПодобно, но предназначено за сървърни сценарии с пълния набор от API и роли на Windows Server.
  • Windows Server CoreУмалена версия, с по-малко място, но включваща пълната версия на .NET Framework и повечето сървърни роли.
  • Нано сървърУлтралек образ, оптимизиран за .NET и определени специфични роли, идеален, когато искате да минимизирате размера и повърхността за атака.

Тези изображения са конструирани в подредени слоевеЕдин слой може да съдържа базовата система, друг - .NET runtime, трети - вашите общи библиотеки и последният - вашето собствено приложение. Ако няколко приложения споделят части от тези слоеве, хостът ги изтегля и съхранява само веднъж, спестявайки много място и време.

Изображения на контейнери за Windows

Основни предимства на използването на контейнери в Windows

В ежедневните операции контейнерите предлагат конкретни предимства за разработчици, системни администратори и екипи по сигурност, особено когато средата се върти около Windows.

За разработчиците: едно и също приложение, едно и също поведение навсякъде

От гледна точка на разработката, голямото предимство на контейнерите е, че средата престава да бъде променливаСъздавате образ с точната версия на .NET, необходимите DLL файлове, помощни инструменти, конфигурация на IIS или Kestrel и т.н. и този образ се разполага по един и същи начин във всички среди.

Това драстично намалява класическите проблеми от типа „работи на моята машина, но не и на сървъра“. Освен това, всеки разработчик може Създайте цялостна среда за секунди без да унищожавате вашия Windows: бази данни, опашки, спомагателни услуги... Всичко в изолирани контейнери, които могат да бъдат унищожени и пресъздадени без страх.

В проекти, където част от стека работи на Linux (например, Node.js микросървиси или контейнери за бази данни), а друга част на Windows (услуги, които зависят от специфични API), можете да координирате всичко от една и съща машина. docker-compose или Kubernetes манифестподдържане на съгласуваност на версиите и портовете.

За ИТ екипите: по-добро използване на хардуера и по-малко хаос

За администраторите контейнерите позволяват увеличаване на плътността на приложение На Windows сървъри, вместо да имате по една виртуална машина на приложение (с пълната му операционна система и корекции), можете да имате много контейнеризирани приложения на по-малко хостове или виртуални машини, управлявайки образи вместо отделни инсталации.

Актуализациите също променят подхода си. Вместо да влизат във всеки сървър, за да модифицират двоични файлове или пачове, те... Изградете нов имидж с промяната (нов код или актуализирана библиотека), се изпраща в системния регистър и се внедрява, оставяйки предишния достъпен за връщане назад, ако има проблеми.

В среди, където преди това сте имали десетки машини с Windows е остарял, „защото работи“Мигрирането към добре проектирани контейнери ви позволява да изолирате тези приложения и постепенно да ги преместите към по-модерни бази, като същевременно поддържате по-голям централизиран контрол.

За безопасност: изолация, минимална повърхност и централно управление

Сигурността на контейнерите не е нито автоматична, нито перфектна, но предлага много мощни инструменти, ако се използва правилно. От една страна, всеки контейнер работи с ограничени разрешения и изолирани ресурсиТова намалява въздействието на проникване в сравнение с приложение, работещо директно на хост системата.

В клъстерите на Kubernetes можете да сегментирате средата по пространства от имена и мрежови политикитака че различните услуги да комуникират помежду си само когато е изрично разрешено. Това се вписва добре в принципи като „най-малко привилегии“ и „Нулево доверие в Windows Server„Особено интересно в сценарии на OT.“

Също така е по-лесно да се приложи цикъл на сигурност на веригата за доставкиСканирате изображенията в системния регистър за уязвимости, изисквате всички изображения да идват от подписани източници, контролирате конфигурацията по време на изпълнение (привилегии, монтиране, възможности и т.н.) и прилагате корекции, като престроявате изображенията, вместо ръчно да докосвате активните системи.

Когато Windows не управлява добре ресурсите... но все пак използвате контейнери.

Много хора имат схващането (доста разумно в някои случаи), че Windows не е кралят на ефективността по отношение на потреблението на ресурси. Особено в сравнение със сървърно оптимизираните Linux дистрибуции. Това води до логичния въпрос: защо да усложнявам нещата с Windows контейнери, ако вече имам виртуални машини, или ако мога просто да преместя всичко в Linux?

Има няколко причини, поради които, дори приемайки тези ограничения, контейнерите на Windows могат да имат смисъл:

  • Приложения, силно свързани с WindowsМного корпоративни решения, COM+ компоненти, услуги, които използват специфични за Windows API, или наследени .NET Framework приложения не могат лесно да бъдат мигрирани към Linux.
  • Стандартизирани бизнес средиОрганизации, чиято цялостна дейност е базирана на Active Directory, GPO, инструменти за мониторинг и архивиране, предназначени за Windows.
  • Екипи с опит в технологиите на MicrosoftИТ персоналът се чувства по-комфортно с Windows Server, Hyper-V и инструменти на Microsoft, отколкото с управлението на чисто Linux клъстери.

В тези ситуации, контейнеризиране в Windows Това позволява по-голяма съгласуваност, по-бързо внедряване, преносимост и автоматизация, дори ако базовият хост не е най-лекият в света. След това винаги можете да оптимизирате с изображения на Nano Server или Server Core и правила за звукови ресурси.

Мрежа, портове, IP адреси и SSL в контейнери на Windows

Едно от първите главоболия за някой, който започва с контейнери, е разбирането Как се управляват портовете и IP адресите в здрава мрежова инфраструктураАко някога сте се затруднявали да стартирате множество услуги на едни и същи портове или да конфигурирате HTTPS с контейнери, това ще ви звучи познато.

По подразбиране всеки контейнер има свой собствен собствено изолирано мрежово пространствоВътрешно, той може да слуша на портове 80, 443, 8000… сякаш е сам. Номерът е, че контейнерният енджин или оркестраторът обработва картографирането на тези вътрешни портове към хост портове или виртуални услуги в клъстера.

Това означава, че Не ви е необходим Raspberry Pi за услугата. само защото всички искат да използват порт 80. Можете да имате няколко контейнера, които слушат вътрешно на 80 и да картографирате всеки един към различен порт на хоста (напр. 8081, 8082…), или да ги скриете зад обратен прокси или Ingress, който действа като единствен фронтенд.

Що се отнася до IP адресирането, в прости сценарии всеки контейнер получава по един вътрешен IP адрес на виртуалната мрежа които управляват Docker или Kubernetes. В по-сложни среди се използват CNI плъгини и наслагващи се мрежи, така че контейнерите да могат да се виждат последователно в множество възли.

В cuanto др SSL/TLS криптиранеНай-често срещаният подход е да се избягва управлението на сертификатите във всеки контейнер поотделно, вместо това те да се централизират във фронтенд: обратен прокси като Nginx, Traefik, HAProxy или в Windows, IIS или Application Gateway в Azure. Този фронтенд прекратява HTTPS и пренасочва трафика чрез вътрешен HTTP към контейнерите. Можете също така да монтирате сертификати в контейнерите, но това усложнява управлението и подновяването.

Контейнери и OT/PLC: Реална промяна или ИТ фантазия?

В света на индустриалната автоматизация и PLC, ситуацията обикновено е доста различна от тази в традиционните центрове за данни. Често срещано е да се срещнат Индустриални HMI панели и компютри с по-стари версии на WindowsДрайвери, силно обвързани със специфичен хардуер, системи, които не са били обновявани от години, и архитектури, проектирани на принципа „ако не е счупено, не го поправяй“.

От софтуерна гледна точка, обещанието на Kubernetes, периферни изчисления и контейнери звучи привлекателно: хардуерна независимост, висока достъпност, самовъзстановяване, хомогенни внедрявания и защитни архитектури, приближаващи се до „нулево доверие“. Проблемът е, че реалността има други ограничения.

Може ли периметрова архитектура, базирана на контейнери Помощ? Отговорът, базиран на опита на много пилотни проекти, обикновено е „да, но“. Да, защото:

  • Това позволява капсулирането на наследени OT приложения, намалявайки директното им излагане на мрежата.
  • Това улеснява внедряването на шлюзове за данни, агрегатори, услуги за историзиране или анализи в близост до машината.
  • Той осигурява висока надеждност и опции за самостоятелен ремонт на компоненти, които не са критични за безопасността на хората или инсталацията.

И „но“, защото добавя слоеве на сложностЕкипите трябва да бъдат обучени, клъстерите трябва да бъдат управлявани, интеграцията трябва да се извършва с много ограничени OT мрежи и трябва да се работи с доставчици на PLC, които може официално да не поддържат тези архитектури.

От гледна точка на индустриалната киберсигурност, този тип архитектура все повече се разглежда като разумна стъпка към по-голяма изолация и контролпри условие че се спазва сегментацията на мрежата, това, което се изпълнява на всеки възел, е строго ограничено и се поддържа силна координация между OT и IT.

Виртуални машини срещу контейнери: кои да използвате във всеки случай

Вечният въпрос „контейнери или виртуални машини?“ няма еднозначен отговор. Обикновено ще използвате И двете технологии в зависимост от нуждите.

Ако трябва да бягате различни цялостни операционни системи Успоредно с това, за да се изолира максимално работното натоварване поради регулаторни изисквания или за да се изпълнява софтуер, който приема, че има пълен системен контрол, виртуалната машина остава най-добрият вариант. Тя е и най-добрият избор, когато искате много силно разделение между различните наематели или клиенти.

Ако това, което търсите, е скорост на внедряване, мащабируемост и ефективно използване на ресурситеИ ако вашите приложения могат да работят удобно на едно и също семейство операционни системи (например няколко .NET приложения на Windows Server), тогава контейнерите са очевидно по-привлекателен вариант.

В много корпоративни среди ще видите хибриден модел: виртуални сървъри (на Hyper-V, VMware или в облака), които служат като възли в контейнерен клъстер. Върху тези виртуални машини се разгръща Kubernetes, Docker Swarm или друг оркестратор и оттам всички нови или надстроени приложения се пакетират в контейнери.

Разработка за Windows и внедряване на Linux: сблъсъкът на реалността

Много често срещан проблем, особено в екипи, които разработват в Windows и внедряват в Linux (контейнер или сървър), е разлика във файловата системаWindows обикновено третира имената на файловете като нечувствителни към главни и малки букви, докато Linux File.ts y файл.ts Те са различни неща.

Това води до някои наистина неприятни грешки. Например, импортирането в код, който работи локално (защото Windows игнорира главните буквино те се сриват в Linux контейнер, защото действителното име на файла има различна буква. Това е класически проблем в стекове като TypeScript, Node, съвременни фронтендове и др.

Единственият начин наистина да го избегнете е да приемете ясни и строги правила за именуване от самото начало на проекта (например, всичко в последователен kebab-case или camelCase) и го подсилете с автоматизирани инструменти: linters, CI валидации, които изпълняват тестове в Linux среди, прегледи на код, които проверяват пътищата, чувствителни към малки и големи букви.

Компаниите, които приемат качеството на кода сериозно, обикновено включват тези контроли в CI/CD конвейера, така че всички грешки с главни букви, неправилно изписани пътища или невалидни зависимости да бъдат маркирани, преди да достигнат до производствения процес. Това е още по-важно, когато крайното внедряване е контейнерзащото там стават забележими всички тези детайли на основната операционна система.

Освен това, управлението на зависимости, версии по време на изпълнение и специфични за средата конфигурации става критично важно, когато започнете да работите с облак, изкуствен интелект и управлявани услуги (AWS, Azure и др.), където инфраструктурата е по-хомогенна и по-малко толерантна към типичните „трикове“ на настолния Windows.

докер

Основни и алтернативни инструменти в света на контейнерите

Въпреки че Docker и Kubernetes са се превърнали в де факто стандарт, екосистемата от контейнери е широка и предлага много опции за различни нива на сложност и нужди.

Докер: основата на почти всичко

Docker популяризира съвременния начин на работа с контейнери и остава... шлюз за повечето оборудванеС Docker Engine стартирате и управлявате контейнери. С Dockerfile декларативно определяте как да изграждате вашите образи. Накрая, с Docker Hub или частни регистри споделяте тези образи с други среди или екипи.

В Windows среди, Docker е особено полезен за създаване на възпроизводими среди за разработка, минимизиране на „инсталациите на Франкенщайн“ на сървърите и изграждане на солидна основа за по-късно мащабиране към по-сложни оркестратори.

Kubernetes: оркестрация в голям мащаб

Когато едно приложение започне да използва множество услуги, бази данни, опашки, интерфейси и други контейнеризирани компоненти, е само въпрос на време, преди да ви е необходим... оркестраторKubernetes (K8s) е най-широко използваната платформа с отворен код за автоматизиране на внедряването, мащабирането и управлението на контейнери.

В Kubernetes групирате свързани контейнери в шушулкиВие дефинирате внедрявания, които указват колко реплики искате за всяка услуга, и предоставяте тези pod-ове чрез мрежови услуги. Контролната равнина обработва балансирането на натоварването между работните възли, следи състоянието на инстанциите, рестартира ги, ако се повредят, и мащабира нагоре или надолу според търсенето.

В хибридни и облачни среди, платформи като AKS (Azure Kubernetes Service), GKE (Google Kubernetes Engine) или EKS (Amazon Elastic Kubernetes Service) опростяват внедряването на управляван Kubernetes. Това ви позволява да се съсредоточите върху приложенията си, оставяйки част от управлението на клъстера на доставчика.

Други инструменти и алтернативи

В допълнение към Docker и Kubernetes, има и други решения, които покриват специфични нужди или архитектурни предпочитания:

  • ПодманПодобно на Docker, но без централен демон; високо ценено в някои Linux среди.
  • КонтейнерКонтейнерният енджин, на който Docker разчита; може да се използва отделно.
  • отворена смянаПлатформата на Red Hat, базирана на Kubernetes, с много допълнителни функции за корпоративно развитие и операции.
  • НомадОркестраторът на HashiCorp е по-лесен за работа от Kubernetes в някои случаи, способен да управлява традиционни контейнери и полезни товари.
  • LXDКонтейнери тип „Пълна система“ в Linux, полезни, когато искате нещо между класически контейнер и лека виртуална машина.
  • скитникНе е базиран на контейнери, но все пак е полезен за създаване на възпроизводими среди за разработка с виртуални машини или дори в комбинация с Docker.

Цялото това пътуване го прави така, че когато се запиташ дали Контейнерите в Windows имат смисълОтговорът зависи по-малко от самата технология и повече от това дали тя е подходяща за вашите приложения, екип и оперативен модел. В много случаи контейнеризацията е най-добрият начин за постигане на значително подобрение в внедряването, преносимостта и сигурността, без да се изоставя екосистемата на Windows. В други случаи може да е по-разумно да се придържате към традиционните виртуални машини или да изберете директно Linux. Важното е да разбирате добре компонентите, за да вземате информирани решения за това кога, как и къде си струва контейнеризацията.