Общие сведения о сети контейнеров

В этом разделе мы предоставляем обзор сетевого стека для контейнеров Windows, а также ссылки на дополнительные рекомендации по созданию, настройке и управлению сетями контейнеров.

Контейнеры Windows Server — это упрощенный метод виртуализации операционной системы, разделяющий приложения или службы от других служб, которые выполняются на том же узле контейнера. Контейнеры Windows работают аналогично виртуальным машинам. При включении каждый контейнер имеет отдельное представление операционной системы, процессов, файловой системы, реестра и IP-адресов, которые можно подключить к виртуальным сетям.

Контейнер Windows предоставляет общий доступ к ядру с узлом контейнера и всеми контейнерами, работающими на узле. Из-за общего пространства ядра для этих контейнеров требуется одинаковая версия ядра и конфигурация. Контейнеры обеспечивают изоляцию приложений с помощью технологии изоляции процесса и пространства имен.

Внимание

Контейнеры Windows не предоставляют враждебные границы безопасности и не следует использовать для изоляции ненадежного кода.

С помощью контейнеров Windows можно развернуть узел Hyper-V, где вы создаете одну или несколько виртуальных машин на узлах виртуальной машины. В узлах виртуальной машины создаются контейнеры, а сетевой доступ осуществляется через виртуальный коммутатор, работающий внутри виртуальной машины. Для развертывания операционной системы и служб в контейнерах можно использовать повторно используемые образы, хранящиеся в репозитории. Каждый контейнер имеет виртуальный сетевой адаптер, который подключается к виртуальному коммутатору, переадресации входящего и исходящего трафика. Конечные точки контейнера можно подключить к локальной сети узла (например, NAT), физической сети или наложить виртуальную сеть, созданную стеком SDN.

Для обеспечения изоляции между контейнерами на одном узле создается сетевой отсек для каждого контейнера Windows Server и Hyper-V. Контейнеры Windows Server используют виртуальную карту узла для подключения к виртуальному коммутатору. Контейнеры Hyper-V используют искусственный сетевой адаптер виртуальной машины (не предоставляемый служебной виртуальной машине) для подключения к виртуальному коммутатору.