Arquitectura de espacio aislado de Windows

Espacio aislado de Windows ventajas de la nueva tecnología de contenedores en Windows para lograr una combinación de seguridad, densidad y rendimiento que no está disponible en las máquinas virtuales tradicionales.

Imagen generada dinámicamente

En lugar de requerir una copia independiente de Windows para arrancar el espacio aislado, la tecnología imagen base dinámica usa la copia de Windows ya instalada en el host.

La mayoría de los archivos del sistema operativo son inmutables y se pueden compartir libremente con Espacio aislado de Windows. Un pequeño subconjunto de archivos del sistema operativo son mutables y no se pueden compartir, por lo que la imagen base del espacio aislado contiene copias inmaculadas de ellos. Una imagen completa de Windows se puede construir a partir de una combinación de los archivos inmutables que se pueden compartir en el host y las copias prístinas de los archivos mutables. Con la ayuda de este esquema, Espacio aislado de Windows tiene una instalación completa de Windows desde la que arrancar sin necesidad de descargar o almacenar una copia adicional de Windows.

Antes de instalar Espacio aislado de Windows, el paquete de imagen base dinámica se almacena como un paquete comprimido de 30 MB. Una vez instalada, la imagen base dinámica ocupa aproximadamente 500 MB de espacio en disco.

Un gráfico compara la escala de la imagen dinámica de los archivos y los vínculos con el sistema de archivos host.

Administración de memoria

Las máquinas virtuales tradicionales asignan asignaciones de tamaño estático de memoria de host. Cuando cambian las necesidades de recursos, las máquinas virtuales clásicas tienen mecanismos limitados para ajustar sus necesidades de recursos. Por otro lado, los contenedores colaboran con el host para determinar dinámicamente cómo se asignan los recursos del host. Este método es similar a la forma en que los procesos compiten normalmente por la memoria en el host. Si el host está bajo presión de memoria, puede recuperar memoria del contenedor de la forma que lo haría con un proceso.

Un gráfico compara el uso compartido de memoria en Espacio aislado de Windows frente a una máquina virtual tradicional.

Uso compartido de memoria

Dado que Espacio aislado de Windows ejecuta la misma imagen de sistema operativo que el host, se ha mejorado para usar las mismas páginas de memoria física que el host para los archivos binarios del sistema operativo a través de una tecnología denominada "mapa directo". Por ejemplo, cuando ntdll.dll se carga en la memoria del espacio aislado, usa las mismas páginas físicas que las páginas del binario cuando se cargan en el host. El uso compartido de memoria entre el host y el espacio aislado da como resultado una superficie de memoria más pequeña en comparación con las máquinas virtuales tradicionales, sin poner en peligro los valiosos secretos de host.

Un gráfico compara la superficie de memoria en Espacio aislado de Windows frente a una máquina virtual tradicional.

Programador de kernel integrado

Con las máquinas virtuales normales, el hipervisor de Microsoft controla la programación de los procesadores virtuales que se ejecutan en las máquinas virtuales. Espacio aislado de Windows usa una nueva tecnología denominada "programación integrada", que permite al programador host decidir cuándo el espacio aislado obtiene ciclos de CPU.

Un gráfico compara la programación en Espacio aislado de Windows frente a una máquina virtual tradicional.

Espacio aislado de Windows emplea una directiva única que permite programar los procesadores virtuales del espacio aislado como subprocesos de host. En este esquema, las tareas de prioridad alta en el host pueden adelantar el trabajo menos importante en el espacio aislado. Este adelantamiento significa que se prioriza el trabajo más importante, ya sea en el host o en el contenedor.

Virtualización de GPU de WDDM

La representación acelerada por hardware es clave para una experiencia de usuario fluida y dinámica, especialmente para casos de uso intensivo de gráficos. Microsoft trabaja con sus asociados del ecosistema de gráficos para integrar funcionalidades modernas de virtualización de gráficos directamente en DirectX y windows Display Driver Model (WDDM), el modelo de controlador que usa Windows.

Esta característica permite que los programas que se ejecutan dentro del espacio aislado compitan por recursos de GPU con aplicaciones que se ejecutan en el host.

Un gráfico muestra el uso del kernel de gráficos en espacio aislado administrado junto con las aplicaciones del host.

Para aprovechar estas ventajas, se requiere un sistema con una GPU y controladores de gráficos compatibles (WDDM 2.5 o posterior). Los sistemas incompatibles representan aplicaciones en Espacio aislado de Windows con la tecnología de representación basada en CPU de Microsoft, Plataforma de rasterización avanzada de Windows (WARP).

Paso a través de la batería

Espacio aislado de Windows también es consciente del estado de la batería del host, lo que le permite optimizar su consumo de energía. Esta funcionalidad es fundamental para la tecnología que se usa en portátiles, donde la duración de la batería suele ser crítica.