细说Windows与Docker之间的趣事

作者   彭爱华    发布于   2016年8月30日

众所周知，Docker能打通开发和运维的任督二脉，所谓DevOps是也。有朋友说，这符合王阳明的"知行合一"之教。而Windows Server 2016内置的Windows Docker亦已经出来一段时间，这里就来和诸公汇报一下测试结果。

Linux和Windows，Docker里各有多少进程

在安装配置Container Host的时候，经常报错Container OS Image下载失败(没办法，墙内的缘故)。

什么是Container OS？顾名思义，是从容器角度看到的OS。

Container OS实际是应用所依赖的用户模式(User mode)OS组件，对于Windows容器来说，例如ntdll.dll、kernel32.dll或者coresystem.dll之类的System DLL。主机上的所有容器共享内核模式(Kernel mode)OS组件，对于Windows，就是ntoskrnl.exe，还有驱动等。

例如对于以下命令，意味着Windows系统从docker映像中获取Windows Server Core的用户模式OS组件，并启动cmd获得Shell。

docker run -it windowsservercore cmd

Linux也是一理，如果运行以下命令，意味着从docker映像中获取Ubuntu的用户模式组件，并且启动Bash Shell。

docker run -it ubuntu /bin/bash

对于以上两个容器，Linux容器里的进程比较少，可以参考以下截图：

而Windows容器，则情况略有不同。

在Windows主机上启动Process Explorer，可以看到这个Windows容器的进程相对多一些：

这是因为在Windows系统中，需要给应用提供一些用户模式的系统服务，例如DNS、DHCP、RPC等服务，这样从容器的角度来看，容器获得了自己独有的服务(一般是在各自的svchost或者其他服务宿主进程里运行)，构成了所谓的Container OS。

我们可以用PowerShell命令查看容器内部启动的Windows服务，大概有27个，参考附图。

很可惜，这个版本的Windows docker里，虽然有远程桌面服务，但是目前还不支持远程桌面到容器，所以无法使用容器应用的图形化界面。

容器里的应用，到底应该启动多少Windows服务？由于Windows服务的具体作用是非文档化的，所以不像Linux可以做到最精简。但是由于这些服务几乎不占用什么额外的资源，对于容器性能没有影响。

Windows容器的进程如何隔离

由于在最新的测试版本里，容器对象的权限设置有了改变，只有SYSTEM权限才能查看。所以要查看Windows容器的进程隔离，需要用SYSTEM权限启动Winobj。这可以借助Psexec来实现：

Psexec -i -d -s winobj.exe

可以看到Windows对象空间里多了一个Containers的节点，其下有若干个GUID分支，这些GUID代表系统里的容器。其下每个容器有自己独立的BaseNamedObjects等命名空间，包括互斥信号量、内存Section、事件等。

可以用PowerShell查看容器的GUID，参考附图。

每个容器节点下，有自己的Session分支，例如该容器，占据了Windows系统的Session 2。如附图所示。

这就是为什么，不管用任务管理器，还是PowerShell，抑或是Process Explorer等工具，我们都在Windows主机里看到容器里的所有进程都会标记Session为2。

借助Process Explorer，我们可以看到容器里的进程，所打开的Handle，其中就指向先前所看到的Windows容器对象命名空间。

同时还能看到，容器进程所在的WindowStation并不是WinSta0，而是Service-0x0-3e7$，3e7的10进制等于999，等于九五之尊，这是SYSTEM服务所在的窗口站。所以容器进程无法在Windows桌面上拥有图形化界面。

还可以查看一个有意义的对象，Windows容器所挂载的主机目录，类似于Linux容器的Volume。

Windows容器的文件系统如何隔离

和Linux一样，Windows容器映像采用分层的文件系统，基于映像创建容器后，相当于在只读的分层文件系统上再覆盖一层可读写的文件系统层。如果要修改的文件在最上层的可读写层里没有，则沿着分层的Layer找到目标文件后，将其用COW(Copy on write：写时复制)复制到可读写层再修改。

我们进入到Windows主机的以下目录：

C:\ProgramData\Microsoft\Windows\Hyper-V\Containers

该目录下列出所有通过PowerShell命令创建的容器文件。其下有文件夹和文件，都以容器的GUID来命名。

其中的926A300B-ACB7-4B28-9D86-45BF82C1211C.vhdx就是该容器的最上层的可读写层，是一个VHDX文件。

记住该可读写层并不是一个完整的文件系统，它需要和Image的现有文件系统组成Union File System。如果尝试双击该VHDX(只能尝试挂载停止状态的容器VHDX)，试图挂载到Windows系统，会弹出以下报错信息，提示该虚拟硬盘无法挂载。

Image的文件系统位于以下路径(Windows Server Core的Container OS文件)：

C:\ProgramData\Microsoft\Windows\Images\CN=Microsoft_WindowsServerCore_10.0.10586.0\Files

如果用Process Explorer查看容器进程访问的Dll，可以看到其访问的路径为Container OS文件。

如果是用docker命令创建的进程，道理类似，但是其可读写层文件系统位于以下路径：

C:\ProgramData\docker\windowsfilter

Windows容器还有注册表

和Linux不一样，Windows容器还需要考虑注册表的隔离问题。和文件系统命名空间隔离一样，注册表命名空间隔离也采用类似Union FS形式。

下面让我们进入PowerShell命令创建的Windows容器文件夹内部。

C:\ProgramData\Microsoft\Windows\Hyper-V\Containers\926A300B-ACB7-4B28-9D86-45BF82C1211C\Hives

在这个Hives文件夹下方，有很多命名为*_Delta的文件，这是容器所访问的注册表配置单元文件。

从命名方式中可以看到，容器的注册表和文件系统一样，也采用分层架构，最上层的是可读写的注册表命名空间。而Image映像也有只读部分的注册表空间，路径如下。

C:\ProgramData\Microsoft\Windows\Images\CN=Microsoft_WindowsServerCore_10.0.10586.0\Hives

在Process Explorer里可以看到可读写层、只读层注册表合并后所加载的内容。

Docker命令所创建的容器，方法类似，位于类似以下路径：

Windows容器的资源限制

大家知道，Docker可以调用CGroup技术来限制Linux容器的CPU、内存等资源占用。而在Windows容器里，内存资源的限制，则是通过Windows的JO(作业对象)技术来实现。

可以参考以下技术来限定Windows容器的CPU、内存和磁盘IO。例如可以将容器的内存限定为最大占用为5GB。

https://msdn.microsoft.com/en-us/virtualization/windowscontainers/management/manage_resources?f=255&MSPPError=-2147217396

然后用Process Explorer打开任意一个容器进程的属性对话框，切换到Job标签页。

可以看到所有容器进程共享一个作业对象，而且该作业对象的内存限额(Job Memory Limit)为5GB。

作者简介

彭爱华 网名盆盆，微软混合云技术顾问。11届微软最有价值专家(MVP)，微软高级认证讲师。出版过近20本技术图书，2005年创建ITECN博客(09年全国IT博客五十强)。微信公众号(华来四笑侃Windows)：sysinternal。曾获得微软技术大会TechEd最佳讲师、中国首届IT管理技术大会(2009)最佳讲师的光荣称号。

感谢陈兴璐对本文的审校。

作者   彭爱华    发布于   2016年8月30日

众所周知，Docker能打通开发和运维的任督二脉，所谓DevOps是也。有朋友说，这符合王阳明的"知行合一"之教。而Windows Server 2016内置的Windows Docker亦已经出来一段时间，这里就来和诸公汇报一下测试结果。

Linux和Windows，Docker里各有多少进程

在安装配置Container Host的时候，经常报错Container OS Image下载失败(没办法，墙内的缘故)。

什么是Container OS？顾名思义，是从容器角度看到的OS。

Container OS实际是应用所依赖的用户模式(User mode)OS组件，对于Windows容器来说，例如ntdll.dll、kernel32.dll或者coresystem.dll之类的System DLL。主机上的所有容器共享内核模式(Kernel mode)OS组件，对于Windows，就是ntoskrnl.exe，还有驱动等。

例如对于以下命令，意味着Windows系统从docker映像中获取Windows Server Core的用户模式OS组件，并启动cmd获得Shell。

docker run -it windowsservercore cmd

Linux也是一理，如果运行以下命令，意味着从docker映像中获取Ubuntu的用户模式组件，并且启动Bash Shell。

docker run -it ubuntu /bin/bash

对于以上两个容器，Linux容器里的进程比较少，可以参考以下截图：

而Windows容器，则情况略有不同。

在Windows主机上启动Process Explorer，可以看到这个Windows容器的进程相对多一些：

这是因为在Windows系统中，需要给应用提供一些用户模式的系统服务，例如DNS、DHCP、RPC等服务，这样从容器的角度来看，容器获得了自己独有的服务(一般是在各自的svchost或者其他服务宿主进程里运行)，构成了所谓的Container OS。

我们可以用PowerShell命令查看容器内部启动的Windows服务，大概有27个，参考附图。

很可惜，这个版本的Windows docker里，虽然有远程桌面服务，但是目前还不支持远程桌面到容器，所以无法使用容器应用的图形化界面。

容器里的应用，到底应该启动多少Windows服务？由于Windows服务的具体作用是非文档化的，所以不像Linux可以做到最精简。但是由于这些服务几乎不占用什么额外的资源，对于容器性能没有影响。

Windows容器的进程如何隔离

由于在最新的测试版本里，容器对象的权限设置有了改变，只有SYSTEM权限才能查看。所以要查看Windows容器的进程隔离，需要用SYSTEM权限启动Winobj。这可以借助Psexec来实现：

Psexec -i -d -s winobj.exe

可以看到Windows对象空间里多了一个Containers的节点，其下有若干个GUID分支，这些GUID代表系统里的容器。其下每个容器有自己独立的BaseNamedObjects等命名空间，包括互斥信号量、内存Section、事件等。

可以用PowerShell查看容器的GUID，参考附图。

每个容器节点下，有自己的Session分支，例如该容器，占据了Windows系统的Session 2。如附图所示。

这就是为什么，不管用任务管理器，还是PowerShell，抑或是Process Explorer等工具，我们都在Windows主机里看到容器里的所有进程都会标记Session为2。

借助Process Explorer，我们可以看到容器里的进程，所打开的Handle，其中就指向先前所看到的Windows容器对象命名空间。

同时还能看到，容器进程所在的WindowStation并不是WinSta0，而是Service-0x0-3e7$，3e7的10进制等于999，等于九五之尊，这是SYSTEM服务所在的窗口站。所以容器进程无法在Windows桌面上拥有图形化界面。

还可以查看一个有意义的对象，Windows容器所挂载的主机目录，类似于Linux容器的Volume。

Windows容器的文件系统如何隔离

和Linux一样，Windows容器映像采用分层的文件系统，基于映像创建容器后，相当于在只读的分层文件系统上再覆盖一层可读写的文件系统层。如果要修改的文件在最上层的可读写层里没有，则沿着分层的Layer找到目标文件后，将其用COW(Copy on write：写时复制)复制到可读写层再修改。

我们进入到Windows主机的以下目录：

C:\ProgramData\Microsoft\Windows\Hyper-V\Containers

该目录下列出所有通过PowerShell命令创建的容器文件。其下有文件夹和文件，都以容器的GUID来命名。

其中的926A300B-ACB7-4B28-9D86-45BF82C1211C.vhdx就是该容器的最上层的可读写层，是一个VHDX文件。

记住该可读写层并不是一个完整的文件系统，它需要和Image的现有文件系统组成Union File System。如果尝试双击该VHDX(只能尝试挂载停止状态的容器VHDX)，试图挂载到Windows系统，会弹出以下报错信息，提示该虚拟硬盘无法挂载。

Image的文件系统位于以下路径(Windows Server Core的Container OS文件)：

C:\ProgramData\Microsoft\Windows\Images\CN=Microsoft_WindowsServerCore_10.0.10586.0\Files

如果用Process Explorer查看容器进程访问的Dll，可以看到其访问的路径为Container OS文件。

如果是用docker命令创建的进程，道理类似，但是其可读写层文件系统位于以下路径：

C:\ProgramData\docker\windowsfilter

Windows容器还有注册表

和Linux不一样，Windows容器还需要考虑注册表的隔离问题。和文件系统命名空间隔离一样，注册表命名空间隔离也采用类似Union FS形式。

下面让我们进入PowerShell命令创建的Windows容器文件夹内部。

C:\ProgramData\Microsoft\Windows\Hyper-V\Containers\926A300B-ACB7-4B28-9D86-45BF82C1211C\Hives

在这个Hives文件夹下方，有很多命名为*_Delta的文件，这是容器所访问的注册表配置单元文件。

从命名方式中可以看到，容器的注册表和文件系统一样，也采用分层架构，最上层的是可读写的注册表命名空间。而Image映像也有只读部分的注册表空间，路径如下。

C:\ProgramData\Microsoft\Windows\Images\CN=Microsoft_WindowsServerCore_10.0.10586.0\Hives

在Process Explorer里可以看到可读写层、只读层注册表合并后所加载的内容。

Docker命令所创建的容器，方法类似，位于类似以下路径：

Windows容器的资源限制

大家知道，Docker可以调用CGroup技术来限制Linux容器的CPU、内存等资源占用。而在Windows容器里，内存资源的限制，则是通过Windows的JO(作业对象)技术来实现。

可以参考以下技术来限定Windows容器的CPU、内存和磁盘IO。例如可以将容器的内存限定为最大占用为5GB。

https://msdn.microsoft.com/en-us/virtualization/windowscontainers/management/manage_resources?f=255&MSPPError=-2147217396

然后用Process Explorer打开任意一个容器进程的属性对话框，切换到Job标签页。

可以看到所有容器进程共享一个作业对象，而且该作业对象的内存限额(Job Memory Limit)为5GB。

作者简介

彭爱华 网名盆盆，微软混合云技术顾问。11届微软最有价值专家(MVP)，微软高级认证讲师。出版过近20本技术图书，2005年创建ITECN博客(09年全国IT博客五十强)。微信公众号(华来四笑侃Windows)：sysinternal。曾获得微软技术大会TechEd最佳讲师、中国首届IT管理技术大会(2009)最佳讲师的光荣称号。

感谢陈兴璐对本文的审校。