安基网 首页 电脑 电脑学堂 查看内容

运用 Windows Sandbox 打造容器轻量级桌面环境

2018-12-26 03:21| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Windows10自带Linux子系统(WSL,Windows Subsystem for Linux)后,微软又推出了一种新的轻量级桌面环境 Windows Sandbox,专为安全运行应用程序而量身定制。你有多少次下载了一个可执行文件,却害怕运行它?您是否曾 ...
  • Windows10自带Linux子系统(WSL,Windows Subsystem for Linux)后,微软又推出了一种新的轻量级桌面环境 Windows Sandbox,专为安全运行应用程序而量身定制。
  • 你有多少次下载了一个可执行文件,却害怕运行它?您是否曾经遇到过需要彻底安装Windows 但又不想设置虚拟机的情况?

在Microsoft,我们经常遇到这些情况,因此微软开发了 Windows Sandbox:一个独立的临时桌面环境,您可以在其中运行不受信任的软件,而不必担心会对您的PC 产生持久影响。Windows Sandbox 中安装的任何软件仅保留在沙箱中,不会影响您的主机。Windows Sandbox 关闭后,将永久删除包含其所有文件和状态的所有软件。

Windows Sandbox 具有以下属性:

  • Windows 原生功能 - 此功能所需的一切都随Windows 10 Pro 和Enterprise 一起提供。无需下载VHD!
  • 纯净 - 每次Windows Sandbox 运行时,它都像Windows 的全新安装一样干净
  • 一次性 - 设备上没有任何东西; 关闭应用程序后,一切都将被丢弃
  • 安全 - 使用基于硬件的虚拟化进行内核隔离,后者依靠Microsoft 的虚拟机管理程序运行单独的内核,将Windows Sandbox 与主机隔离开来
  • 高效 - 使用集成的内核调度程序,智能内存管理和虚拟GPU


使用该功能的先决条件

  • Windows 10 Pro 或Enterprise Insider 内部版本18305 或更高版本
  • AMD64 架构
  • 在BIOS 中启用虚拟化功能
  • 至少4GB 的RAM(推荐8GB)
  • 至少1 GB 的可用磁盘空间(建议使用SSD)
  • 至少2 个CPU 核心(建议使用4 个超线程核心)


快速开始

  • 安装Windows 10 预览版18305 (专业版 或 企业版)
  • 启用虚拟化:
  • 如果您使用的是物理机,请确保在BIOS 中启用了虚拟化功能。
  • 如果您使用的是虚拟机,请使用此PowerShell cmdlet 启用嵌套虚拟化:Set-VMProcessor -VMName -ExposeVirtualizationExtensions $ true
  • 打开Windows 功能,然后选择Windows Sandbox。选择“ 确定” 以安装Windows Sandbox。系统可能会要求您重新启动计算机。



  • 使用“ 开始” 菜单,找到Windows Sandbox,运行它并允许提权
  • 从主机复制可执行文件
  • 将可执行文件粘贴到Windows Sandbox 的窗口中(在Windows 桌面上)
  • 在Windows Sandbox 中运行可执行文件; 如果是安装程序,请继续安装
  • 运行应用程序并像平常一样使用它
  • 完成实验后,您只需关闭Windows Sandbox 应用程序即可。所有沙盒内容都将被丢弃并永久删除
  • 确认主机没有您在Windows Sandbox 中进行的任何修改




Windows Sandbox 遵循宿主机的数据设置。所有其他隐私设置都设置为其默认值。

Windows Sandbox 技术详解

Windows Sandbox 构建于 Windows 容器技术之上。Window容器最初的设计是为应用在云中运行。Windows Sandbox采用了该技术,增加了与Windows 10 的集成,并构建了一些功能,使其更适合在PC和笔记本电脑上运行,而无需Windows Server 的全部功能。

微软所做的一些重要改进包括:

  • 动态生成的图像

Windows Sandbox 的核心是一个轻量级虚拟机,因此需要一个操作系统镜像才能启动。Windows Sandbox的一项重要增强功能是能够使用计算机上安装的Windows 10 副本,而不是像使用普通虚拟机那样下载新的VHD 映像。

我们希望始终呈现一个干净的环境,但挑战在于某些操作系统文件可能会发生变化。Sandbox的解决方案是构建称之为“动态基本映像” 的操作系统映像:具有可以更改的文件的干净副本的操作系统映像,但链接到主机上已存在的Windows 映像中无法更改的文件。大多数文件是链接(不可变文件),这就是完整操作系统的小尺寸(~100MB)的原因。我们使用Windows 容器术语将此实例称为Windows Sandbox 的“基本映像”。

如果未安装Windows Sandbox,我们会将动态基本映像保存在仅 25MB 的压缩包中。安装动态基础包时,它占用大约100MB 的磁盘空间。



  • 智能内存管理

内存管理是Sandbox与Windows 内核集成的另一个领域。Microsoft 的虚拟机管理程序允许将单个物理机器划分为多个共享相同物理硬件的虚拟机。虽然这种方法适用于传统的服务器工作负载,但它不适合运行资源有限的设备。微软设计了Windows Sandbox,以便主机可以根据需要从沙盒中回收内存。

此外,由于Windows Sandbox 基本上运行与主机相同的操作系统映像,因此还允许Windows Sandbox通过称为“直接映射” 的技术使用与操作系统二进制文件的主机相同的物理内存页面。换句话说,ntdll 的相同可执行页面将映射到主机上的沙箱中。Windows Sandbox确保以安全的方式完成这项工作,并且不会分享任何涉密内容。



  • 集成内核调度程序

使用普通虚拟机,Microsoft 的虚拟机管理程序可控制在VM 中运行的虚拟处理器的调度。但是,对于Windows Sandbox,使用称为“集成调度程序” 的新技术,该技术允许主机决定何时运行沙箱。

Windows Sandbox采用了一种独特的调度策略,该策略允许以与为进程调度线程相同的方式调度沙箱的虚拟处理器。主机上的高优先级任务可以抢占沙箱中不太重要的工作。使用集成调度程序的好处是,主机将Windows Sandbox 作为一个进程而不是虚拟机来管理,从而产生响应速度更快的主机,类似于 Linux KVM。

这里的整个目标是将Sandbox 视为应用程序,但具有虚拟机的安全保障。

  • 快照和克隆

如上所述,Windows Sandbox 使用Microsoft 的虚拟机管理程序。如果我们需要运行一个Windows副本,可能需要一些时间来启动副本。因此,不是每次启动Windows Sandbox 时都占用使用沙盒操作系统的全部资源,而是使用其他两种技术; “快照” 和“克隆”。

快照允许我们一次启动沙盒环境并将内存,CPU 和设备状态保存到磁盘。然后,当我们需要一个新的Windows Sandbox 实例时,我们可以从磁盘恢复沙箱环境并将其放入内存而不是启动它。这明显减少了Windows Sandbox 的启动时间。

  • 图形虚拟化

硬件加速渲染是快速稳定的响应用户体验的关键,特别是对于图形密集型或媒体密集型用例。但是,虚拟机与其主机隔离,无法访问GPU 等高级设备。因此,图形虚拟化技术的作用是弥合这一差距,并在虚拟化环境中提供硬件加速; 例如 Microsoft RemoteFX。

最近,Microsoft 与它的图形生态系统合作伙伴合作,将现代图形虚拟化功能直接集成到DirectX 和WDDM 中,这是Windows 上显示驱动程序使用的驱动程序模型。

从较高层面来看,这种形式的图形虚拟化的工作原理如下:

  • 在Hyper-V VM 中运行的应用程序正常使用图形API。
  • VM 中的图形组件(已被开启以支持虚拟化)在VM 边界与主机协调以执行图形工作负载。
  • 主机在VM 中的应用程序之间分配和调度图形资源以及本机运行的应用程序。从概念上讲,它们表现为一个图形客户端池。


此过程如下所示:



这使Windows Sandbox VM 能够受益于硬件加速渲染,Windows 可以在主机和来宾之间动态分配图形资源。其结果是提高了Windows Sandbox 中运行的应用程序的性能和响应能力,并提高了图形密集用例的电池寿命。

要利用这些优势,您需要一个具有兼容GPU 和图形驱动程序(WDDM 2.5 或更高版本)的系统。不兼容的系统将使用Microsoft 的基于CPU 的渲染技术在Windows Sandbox 中呈现应用程序。

  • 电池直通

Windows Sandbox 还了解主机的电池状态,从而可以优化功耗。这对于将用于笔记本电脑的技术至关重要,因为不浪费电池对用户来说非常重要。

结束语

使用Windows Sandbox,您可以得到一个安全清爽无残留的沙盒子系统。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6638883836753101316/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部