I container in Windows: quando sono davvero utili?

  • In Windows, i container isolano le applicazioni condividendo il kernel dell'host, riducendo cosรฌ il consumo di risorse rispetto alle macchine virtuali complete.
  • L'ecosistema Microsoft offre un supporto completo per i container con Docker, Visual Studio, Azure Container Registry e Azure Kubernetes Service.
  • La containerizzazione in Windows offre chiari vantaggi in termini di implementazione, portabilitร  e sicurezza, sebbene richieda l'adattamento delle pratiche di sviluppo e operative.
  • La scelta tra container e macchine virtuali dipende dal caso d'uso: un forte isolamento e la diversitร  dei sistemi favoriscono le macchine virtuali; velocitร  e densitร  favoriscono i container.
Daniel Terrasa

16 minuti

contenitori in Windows

Se vieni dal mondo dello sviluppo o dell'informatica "hardcore", รจ molto probabile che il contenitori in Windows Potrebbero sembrare qualcosa a metร  tra la magia e il marketing. E se anche tu hai avuto problemi con porte, certificati SSL o distribuzioni che falliscono su Linux ma funzionano sul tuo PC Windows, รจ normale chiedersi se tutto questo parlare di Docker su WindowsKubernetes e tecnologie simili si integrano perfettamente in un ambiente Microsoft.

La realtร  รจ che il In Windows, i container sono molto piรน utili di quanto sembri.Ma non sono sempre adatti a ogni situazione o scenario. In questo articolo, esamineremo piรน da vicino cosa sono i container (senza confonderli con le macchine virtuali), come funzionano nello specifico su Windows, i loro vantaggi e svantaggi rispetto alle VM, il loro ruolo negli ambienti di sviluppo, produzione e OT/PLC, e quando vale la pena usarli... e quando potrebbe essere meglio attenersi ai vecchi metodi.

Che cos'รจ esattamente un contenitore (anche in Windows)?

Un contenitore รจ, in sostanza, un pacchetto software leggero e isolato Include un'applicazione e tutto ciรฒ che le serve per funzionare: librerie, dipendenze, configurazione, file di sistema in modalitร  utente, ecc. Invece di ospitare un sistema operativo completo come una macchina virtuale, condivide il kernel del sistema operativo host.

Potresti immaginare un contenitore come un scatola sigillata molto bene Mostra solo ciรฒ che รจ assolutamente necessario. Al suo interno, si inserisce l'applicazione (ad esempio, un server Icecast, un sistema SCADA o un'API .NET), insieme alle librerie e agli strumenti specifici di cui ha bisogno. Dall'esterno, questo dispositivo si comporta come un mini-sistema autonomo, ma in realtร  si basa sul kernel Windows o Linux sottostante.

In Windows, i container funzionano sfruttando il funzionalitร  di container integrate nel sistema (Windows Server 2016 o versioni successive e Windows 10/11 dalla versione 1607 per lo sviluppo). Ciรฒ significa che รจ possibile eseguire container Windows in modo nativo su Windows Server.

Per lo sviluppatore o l'amministratore, il punto chiave รจ che il contenitore offre un ambiente prevedibile e replicabileCiรฒ che funziona sul tuo portatile funzionerร  allo stesso modo sul server, nel cloud o in periferia, perchรฉ tutto viaggia impacchettato nella stessa immagine.

Sui sistemi Windows, questa funzionalitร  รจ particolarmente utile per le applicazioni .NET Framework, le applicazioni .NET, i servizi di Windows Server o i software legacy che si desidera isolare, impacchettare e migrare senza dover riconfigurare ogni volta metร  del sistema.

Come funzionano i container in Windows

Come i container si integrano nell'ecosistema Microsoft

Microsoft ha preso molto seriamente questo problema e offre una ecosistema abbastanza completo Esperienza nella gestione di container, sia Windows che Linux, con competenze che spaziano dallo sviluppo locale alla distribuzione su larga scala nel cloud.

Nella sezione sviluppo, รจ possibile Eseguire container su Windows 10/11 Utilizzando Docker Desktop, che sfrutta le funzionalitร  dei container di Windows, o WSL2 per Linux, รจ possibile eseguire facilmente servizi containerizzati sul PC di lavoro per test, debug e preparazione delle immagini.

Strumenti come Visual Studio e Visual Studio Code Hanno il supporto integrato per Docker, amministrazione con Docker ComposeKubernetes e Helm. Questo permette di aggiungere un Dockerfile al progetto, eseguire il debug all'interno di un container o generare le definizioni necessarie per il deployment su cluster Kubernetes in modo piuttosto semplice.

Una volta che la tua applicazione รจ impacchettata, puoi pubblicare le immagini dei container in un logรˆ qui che entrano in gioco Docker Hub (pubblico) o i registri privati โ€‹โ€‹come Azure Container Registry (ACR), dove la tua organizzazione controlla chi carica, chi scarica e quali versioni vengono utilizzate in ciascun ambiente e in che modo. distribuire container su server remoti.

Per quanto riguarda l'implementazione su larga scala, il pezzo forte รจ Servizio Azure Kubernetes (AKS)Questo permette di orchestrare decine, centinaia o migliaia di container su macchine virtuali di Azure, siano esse server Windows personalizzati o distribuzioni Linux come Ubuntu. Sono inoltre disponibili opzioni ibride con Azure Arc, AKS su Azure Stack Hub o integrazioni con OpenShift in ambienti on-premise.

Se non si desidera utilizzare Azure in locale, รจ perfettamente possibile. Installare Kubernetes su Windows Server o in autonomia, oppure utilizzando altre piattaforme supportate o integrate da Microsoft, come Red Hat OpenShift con supporto per container Windows.

Come funzionano internamente i container in Windows

Un contenitore Windows รจ, essenzialmente, un processo o insieme di processi che vengono eseguiti al di sopra del kernel del sistema operativo host. Ma (questo รจ importante) con una visione isolata del sistema. Questa "visione filtrata" si applica al file system, al registro di sistema, alla rete e ad altre risorse.

La parte interessante รจ che il contenitore Non ha accesso diretto e illimitato al kernel.Sebbene lo condivida, vede un file system virtualizzato (a livelli), un registro isolato e risorse che il motore del container presenta come se fossero "proprie". Ma in realtร , sono gestite dall'host.

Le modifiche apportate all'interno di un container in esecuzione vengono applicate a un strato di scrittura effimeroQuando il container si arresta, quel livello puรฒ essere eliminato, riportando il sistema allo stato dell'immagine originale. Se si desidera rendere i dati effettivamente persistenti, รจ necessario montare volumi esterni o risorse di archiviazione (dischi, condivisioni SMB, File di Azure, ecc.).

Microsoft offre diversi immagini ufficiali della base Modelli Windows su cui creare i vostri container:

  • WindowsImmagine di grandi dimensioni contenente quasi tutte le API e i servizi di Windows (senza ruoli server).
  • di Windows ServerSimile, ma progettato per scenari server con l'intero set di API e ruoli di Windows Server.
  • Windows Server CoreUna versione ridotta, con meno spazio, ma che include il .NET Framework completo e la maggior parte dei ruoli server.
  • Nano ServerImmagine ultraleggera, ottimizzata per .NET e per ruoli specifici, ideale quando si desidera ridurre al minimo le dimensioni e la superficie di attacco.

Queste immagini sono costruite in strati sovrappostiUn livello puรฒ contenere il sistema di base, un altro il runtime .NET, un altro ancora le librerie comuni e un ultimo la propria applicazione. Se diverse applicazioni condividono parti di questi livelli, l'host li scarica e li memorizza una sola volta, risparmiando molto spazio e tempo.

Immagini contenitore Windows

Principali vantaggi dell'utilizzo dei container in Windows

Nelle operazioni quotidiane, i container offrono vantaggi concreti per sviluppatori, amministratori di sistema e team di sicurezza, soprattutto quando l'ambiente รจ basato su Windows.

Per gli sviluppatori: stessa app, stesso comportamento ovunque.

Dal punto di vista dello sviluppo, il grande vantaggio dei container รจ che l'ambiente cessa di essere una variabileSi crea un'immagine con la versione esatta di .NET, le DLL necessarie, gli strumenti ausiliari, la configurazione di IIS o Kestrel, ecc., e tale immagine viene distribuita allo stesso modo in tutti gli ambienti.

Ciรฒ riduce drasticamente i classici problemi del tipo "funziona sulla mia macchina, ma non sul server". Inoltre, ogni sviluppatore puรฒ Configura un ambiente completo in pochi secondi senza distruggere il tuo sistema Windows: database, code, servizi ausiliari... Tutto in container isolati, che possono essere distrutti e ricreati senza timore.

Nei progetti in cui una parte dello stack viene eseguita su Linux (ad esempio, microservizi Node.js o container di database) e un'altra parte su Windows (servizi che dipendono da API specifiche), รจ possibile coordinare tutto dalla stessa macchina. docker-compose o manifesto di KubernetesMantenimento della coerenza di versione e porta.

Per i team IT: un migliore utilizzo dell'hardware e meno caos.

Per gli amministratori, i container consentono aumentare la densitร  delle applicazioni Sui server Windows, anzichรฉ avere una macchina virtuale per ogni applicazione (con il relativo sistema operativo completo e le relative patch), รจ possibile avere molte applicazioni containerizzate su un numero inferiore di host o macchine virtuali, gestendo le immagini anzichรฉ le singole installazioni.

Gli aggiornamenti stanno anche cambiando il loro approccio. Invece di andare su ogni server per modificare i binari o le patch, stanno Crea una nuova immagine con la modifica (nuovo codice o libreria aggiornata), viene inviato al registro e distribuito, lasciando disponibile la versione precedente per il ripristino in caso di problemi.

In ambienti in cui in precedenza avevi decine di macchine con Windows รจ obsoleto "perchรฉ funziona".La migrazione a container ben progettati consente di isolare tali applicazioni e di spostarle gradualmente verso infrastrutture piรน moderne, mantenendo al contempo un maggiore controllo centralizzato.

Per la sicurezza: isolamento, superficie minima e controllo centralizzato.

La sicurezza dei container non รจ nรฉ automatica nรฉ perfetta, ma offre strumenti molto potenti se usati correttamente. Per esempio, ogni container viene eseguito con autorizzazioni limitate e risorse isolateCiรฒ riduce l'impatto di un'intrusione rispetto a un'applicazione in esecuzione direttamente sul sistema host.

Nei cluster Kubernetes รจ possibile segmentare l'ambiente tramite Spazi dei nomi e politiche di retein modo che i diversi servizi comunichino tra loro solo quando esplicitamente consentito. Ciรฒ si adatta bene a principi come il โ€œminimo privilegioโ€ e โ€œFiducia zero in Windows Serverโ€œParticolarmente interessante negli scenari OT.โ€

รˆ anche piรน facile implementare un ciclo di sicurezza della catena di approvvigionamentoSi eseguono scansioni delle immagini nel registro alla ricerca di vulnerabilitร , si richiede che tutte le immagini provengano da fonti firmate, si controlla la configurazione in fase di esecuzione (privilegi, punti di montaggio, funzionalitร , ecc.) e si applicano le patch ricostruendo le immagini anzichรฉ intervenire manualmente sui sistemi in produzione.

Quando Windows non gestisce bene le risorse... ma si continuano a usare i container.

Molte persone hanno la percezione (in alcuni casi abbastanza ragionevole) che Windows non รจ il re dell'efficienza in termini di consumo di risorse. Soprattutto se confrontato con le distribuzioni Linux ottimizzate per i server. Questo porta alla domanda logica: perchรฉ complicarsi la vita con i container Windows se ho giร  delle macchine virtuali o se potrei semplicemente spostare tutto su Linux?

Esistono diverse ragioni per cui, pur accettando queste limitazioni, i container Windows possono essere una soluzione valida:

  • Applicazioni strettamente legate a WindowsMolte soluzioni aziendali, componenti COM+, servizi che utilizzano API specifiche di Windows o applicazioni legacy basate su .NET Framework non possono essere facilmente migrati a Linux.
  • Ambienti aziendali standardizzatiOrganizzazioni la cui intera attivitร  si basa su Active Directory, GPO, strumenti di monitoraggio e backup progettati per Windows.
  • Team con esperienza nelle tecnologie MicrosoftIl personale IT si trova piรน a suo agio con Windows Server, Hyper-V e gli strumenti Microsoft che con la gestione di cluster basati esclusivamente su Linux.

In queste situazioni, containerizzare su Windows Consente maggiore uniformitร , implementazione piรน rapida, portabilitร  e automazione, anche se l'host di base non รจ il piรน leggero al mondo. In seguito, รจ sempre possibile ottimizzare con immagini Nano Server o Server Core e politiche di gestione delle risorse appropriate.

Rete, porte, indirizzi IP e SSL nei container Windows

Uno dei primi grattacapi per chi inizia a lavorare con i container รจ capire Come vengono gestite le porte e gli indirizzi IP in un infrastruttura di rete sanaSe avete mai avuto difficoltร  a eseguire piรน servizi sulle stesse porte o a configurare HTTPS con i container, questa situazione vi risulterร  familiare.

Per impostazione predefinita, ogni contenitore ha il proprio spazio di rete isolato proprioInternamente, puรฒ rimanere in ascolto sulle porte 80, 443, 8000โ€ฆ come se fosse un'entitร  isolata. Il trucco sta nel fatto che il motore del container o l'orchestratore si occupa di mappare queste porte interne alle porte dell'host o ai servizi virtuali all'interno del cluster.

Questo significa che Non รจ necessario un Raspberry Pi per utilizzare il servizio. Semplicemente perchรฉ tutti vogliono usare la porta 80. รˆ possibile avere diversi container in ascolto sulla porta 80 internamente e mappare ciascuno a una porta diversa sull'host (ad esempio, 8081, 8082...), oppure nasconderli dietro un reverse proxy o un Ingress che funge da unico front-end.

Per quanto riguarda l'indirizzamento IP, negli scenari semplici ogni container riceve un indirizzo IP IP interno della rete virtuale che gestiscono Docker o Kubernetes. In ambienti piรน complessi, vengono utilizzati plugin CNI e reti overlay in modo che i container possano comunicare tra loro in modo coerente su piรน nodi.

Da Crittografia SSL/TLSL'approccio piรน comune consiste nell'evitare di gestire i certificati singolarmente in ogni container, centralizzandoli invece in un front-end: un reverse proxy come Nginx, Traefik, HAProxy, oppure, su Windows, IIS o un Application Gateway in Azure. Questo front-end termina il protocollo HTTPS e inoltra il traffico tramite HTTP interno ai container. รˆ anche possibile montare i certificati all'interno dei container, ma ciรฒ complica la gestione e il rinnovo.

Container e OT/PLC: cambiamento reale o fantasia informatica?

Nel mondo dell'automazione industriale e dei PLC, la situazione รจ solitamente molto diversa da quella dei data center tradizionali. รˆ comune trovare Interfacce HMI industriali e PC con versioni precedenti di WindowsDriver strettamente legati a hardware specifici, sistemi che non vengono aggiornati da anni e architetture progettate secondo il principio "se funziona, non toccarlo".

Dal punto di vista del software, le promesse di Kubernetes, dell'edge computing e dei container sembrano allettanti: indipendenza dall'hardware, alta disponibilitร , auto-riparazione, implementazioni omogenee e architetture difensive che si avvicinano al modello "zero trust". Il problema รจ che la realtร  presenta altri vincoli.

Puรฒ a architettura perimetrale basata su container Aiuto? La risposta, basata sull'esperienza di molti progetti pilota, รจ solitamente "sรฌ, ma". Sรฌ, perchรฉ:

  • Consente di incapsulare le applicazioni OT legacy, riducendo la loro esposizione diretta alla rete.
  • Consente di implementare gateway di dati, aggregatori, servizi di storicizzazione o strumenti di analisi in prossimitร  del dispositivo.
  • Offre elevata disponibilitร  e opzioni di autoriparazione per i componenti che non sono critici per la sicurezza delle persone o dell'impianto.

E โ€œmaโ€ perchรฉ aggiunge livelli di complessitร : รจ necessario formare i team, gestire i cluster, integrarsi con reti OT altamente ristrette e coesistere con fornitori di PLC che potrebbero non supportare ufficialmente queste architetture.

Dal punto di vista della sicurezza informatica industriale, questo tipo di architettura รจ sempre piรน visto come un un passo ragionevole verso un maggiore isolamento e controlloa condizione che venga rispettata la segmentazione della rete, che ciรฒ che viene eseguito su ciascun nodo sia strettamente limitato e che venga mantenuto un forte coordinamento tra OT e IT.

Macchine virtuali o container: quale utilizzare in ogni caso?

La vecchia domanda "container o VM?" non ha una risposta univoca. Di solito finirai per usare Entrambe le tecnologie a seconda delle necessitร .

Se hai bisogno di correre diversi sistemi operativi completi Parallelamente, per isolare il piรน possibile un carico di lavoro a causa di requisiti normativi o per eseguire software che presuppone di avere il pieno controllo del sistema, una macchina virtuale rimane l'opzione migliore. รˆ anche la scelta migliore quando si desidera una separazione molto forte tra diversi tenant o client.

Se quello che stai cercando รจ velocitร  di implementazione, scalabilitร  e utilizzo efficiente delle risorseE se le tue applicazioni possono essere eseguite senza problemi sulla stessa famiglia di sistemi operativi (ad esempio, diverse applicazioni .NET su Windows Server), allora i container rappresentano un'opzione decisamente piรน interessante.

In molti ambienti aziendali, si osserva un modello ibrido: server virtuali (su Hyper-V, VMware o nel cloud) che fungono da nodi in un cluster di container. Su queste macchine virtuali, si implementa Kubernetes, Docker Swarm o un altro orchestratore e, da lรฌ, tutte le applicazioni nuove o aggiornate vengono impacchettate in container.

Sviluppo Windows e implementazione Linux: lo scontro tra realtร  e sviluppo

Un problema molto comune, soprattutto nei team che sviluppano in Windows e distribuiscono su Linux (container o server), รจ il differenza nel file systemWindows in genere tratta i nomi dei file senza distinzione tra maiuscole e minuscole, mentre Linux File.ts y file.ts Sono cose diverse.

Ciรฒ porta ad alcuni errori davvero spiacevoli. Ad esempio, importazioni nel codice che funzionano localmente (perchรฉ Windows ignora le maiuscolema si verificano errori in un container Linux perchรฉ il nome del file effettivo ha una lettera diversa. Questo รจ un problema classico in stack come TypeScript, Node, frontend moderni, ecc.

L'unico modo per evitarlo veramente รจ adottare convenzioni di denominazione chiare e rigorose dall'inizio del progetto (ad esempio, tutto in modo coerente con la notazione kebab-case o camelCase) e rafforzarla con strumenti automatizzati: linter, validazioni CI che eseguono test in ambienti Linux, revisioni del codice che verificano la distinzione tra maiuscole e minuscole.

Le aziende che prendono sul serio la qualitร  del codice in genere incorporano questi controlli nella pipeline CI/CD, in modo che eventuali errori di maiuscole/minuscole, percorsi errati o dipendenze non valide vengano segnalati prima di raggiungere la produzione. Questo รจ ancora piรน importante quando La distribuzione finale รจ un containerperchรฉ รจ lรฌ che tutti quei dettagli del sistema operativo sottostante diventano evidenti.

Inoltre, la gestione efficace delle dipendenze, delle versioni runtime e delle configurazioni specifiche dell'ambiente diventa fondamentale quando si inizia a lavorare con cloud, intelligenza artificiale e servizi gestiti (AWS, Azure, ecc.), dove l'infrastruttura รจ piรน omogenea e meno tollerante ai tipici "trucchi" di Windows per desktop.

scaricatore di porto

Strumenti principali e alternativi nel mondo dei container

Sebbene Docker e Kubernetes siano diventati lo standard di fatto, l'ecosistema dei container รจ vasto e offre numerose opzioni per diversi livelli di complessitร  ed esigenze.

Docker: le fondamenta di quasi tutto

Docker ha reso popolare il modo moderno di lavorare con i container e rimane il gateway per la maggior parte delle apparecchiatureCon Docker Engine si avviano e si gestiscono i container. Con il Dockerfile si definisce in modo dichiarativo come creare le immagini. Infine, con Docker Hub o i registri privati โ€‹โ€‹si condividono queste immagini con altri ambienti o team.

Negli ambienti Windows, Docker รจ particolarmente utile per creare ambienti di sviluppo riproducibiliridurre al minimo le "installazioni Frankenstein" sui server e costruire una solida base per scalare in seguito verso orchestratori piรน complessi.

Kubernetes: orchestrazione su vasta scala

Quando un'applicazione inizia a utilizzare piรน servizi, database, code, front-end e altri componenti containerizzati, รจ solo questione di tempo prima che tu abbia bisogno di un orchestratoreKubernetes (K8s) รจ la piattaforma open source piรน utilizzata per automatizzare la distribuzione, il dimensionamento e la gestione dei container.

In Kubernetes si raggruppano i container correlati in baccelliSi definiscono le implementazioni che specificano il numero di repliche desiderate per ciascun servizio e si espongono i relativi pod tramite servizi di rete. Il piano di controllo gestisce il bilanciamento del carico tra i nodi worker, monitora lo stato di salute delle istanze, le riavvia in caso di errore e ne regola il dimensionamento in base alla domanda.

Negli ambienti ibridi e cloud, piattaforme come AKS (Azure Kubernetes Service), GKE (Google Kubernetes Engine) o EKS (Amazon Elastic Kubernetes Service) semplificano l'implementazione di Kubernetes gestito. Questo permette di concentrarsi sulle applicazioni, lasciando parte della gestione del cluster al fornitore.

Altri strumenti e alternative

Oltre a Docker e Kubernetes, esistono altre soluzioni che rispondono a esigenze specifiche o preferenze architetturali:

  • PodmanSimile a Docker, ma senza un demone centrale; molto apprezzato in alcuni ambienti Linux.
  • contenitoreIl motore di container su cui si basa Docker; puรฒ essere utilizzato separatamente.
  • OpenShiftLa piattaforma di Red Hat basata su Kubernetes, con numerose funzionalitร  aggiuntive per lo sviluppo e la gestione aziendale.
  • NomadeIn alcuni casi, l'orchestratore di HashiCorp รจ piรน semplice da utilizzare rispetto a Kubernetes, essendo in grado di gestire container e payload tradizionali.
  • LXDI container di tipo "sistema completo" su Linux sono utili quando si desidera qualcosa di intermedio tra un container classico e una macchina virtuale leggera.
  • VagabondoNon รจ basato su container, ma รจ comunque utile per configurare ambienti di sviluppo riproducibili con macchine virtuali o anche in combinazione con Docker.

Tutto questo viaggio fa sรฌ che, quando ti chiedi se I contenitori in Windows hanno sensoLa risposta dipende meno dalla tecnologia in sรฉ e piรน dalla sua compatibilitร  con le applicazioni, il team e il modello operativo. In molti casi, la containerizzazione รจ la soluzione migliore per ottenere un significativo miglioramento in termini di implementazione, portabilitร  e sicurezza senza abbandonare l'ecosistema Windows. In altri, potrebbe essere piรน opportuno rimanere fedeli alle macchine virtuali tradizionali o optare direttamente per Linux. L'importante รจ comprendere a fondo i componenti per poter prendere decisioni consapevoli su quando, come e dove la containerizzazione sia vantaggiosa.