Compartilhar via

Arquitetura da Área Restrita do Windows

Área Restrita do Windows beneficia da nova tecnologia de contentor no Windows para obter uma combinação de segurança, densidade e desempenho que não está disponível nas VMs tradicionais.

Imagem gerada dinamicamente

Em vez de exigir uma cópia separada do Windows para iniciar o sandbox, a tecnologia Dynamic Base Image utiliza a cópia do Windows já instalada no anfitrião.

A maioria dos ficheiros do SO é imutável e pode ser partilhada livremente com Área Restrita do Windows. Um pequeno subconjunto de ficheiros do sistema operativo é mutável e não pode ser partilhado, pelo que a imagem base do sandbox contém cópias imaculadas dos mesmos. Uma imagem completa do Windows pode ser construída a partir de uma combinação dos ficheiros imutáveis fragmentáveis no anfitrião e das cópias imaculadas dos ficheiros mutáveis. Com a ajuda deste esquema, o Área Restrita do Windows tem uma instalação completa do Windows para arrancar sem ter de transferir ou armazenar uma cópia extra do Windows.

Antes de Área Restrita do Windows ser instalado, o pacote de imagem de base dinâmica é armazenado como um pacote comprimido de 30 MB. Depois de instalada, a imagem de base dinâmica ocupa cerca de 500 MB de espaço em disco.

Um gráfico compara a escala da imagem dinâmica de ficheiros e ligações com o sistema de ficheiros anfitrião.

Gestão de memória

Alocação de tamanho estaticamente dimensionado das VMs tradicionais da memória do anfitrião. Quando as necessidades de recursos mudam, as VMs clássicas têm mecanismos limitados para ajustar as suas necessidades de recursos. Por outro lado, os contentores colaboram com o anfitrião para determinar dinamicamente como os recursos de anfitrião são alocados. Este método é semelhante à forma como os processos competem normalmente pela memória no anfitrião. Se o anfitrião estiver sob pressão de memória, pode recuperar a memória do contentor tal como faria com um processo.

Um gráfico compara a partilha de memória em Área Restrita do Windows em comparação com uma VM tradicional.

Partilha de memória

Uma vez que Área Restrita do Windows executa a mesma imagem do sistema operativo que o anfitrião, é melhorado para utilizar as mesmas páginas de memória física que o anfitrião para binários do sistema operativo através de uma tecnologia referida como "mapa direto". Por exemplo, quando ntdll.dll é carregado para a memória no sandbox, utiliza as mesmas páginas físicas que as páginas do binário quando carregadas no anfitrião. A partilha de memória entre o anfitrião e o sandbox resulta numa menor quantidade de memória em comparação com as VMs tradicionais, sem comprometer segredos valiosos do anfitrião.

Um gráfico compara a quantidade de memória em Área Restrita do Windows em comparação com uma VM tradicional.

Agendador de kernel integrado

Com máquinas virtuais comuns, o hipervisor da Microsoft controla o agendamento dos processadores virtuais em execução nas VMs. Área Restrita do Windows utiliza uma nova tecnologia chamada "agendamento integrado", que permite ao agendador de anfitriões decidir quando o sandbox obtém ciclos de CPU.

Um gráfico compara o agendamento em Área Restrita do Windows em comparação com uma VM tradicional.

Área Restrita do Windows utiliza uma política exclusiva que permite que os processadores virtuais do Sandbox sejam agendados como threads de anfitrião. Ao abrigo deste esquema, as tarefas de alta prioridade no anfitrião podem antecipar trabalhos menos importantes no Sandbox. Esta preempção significa que o trabalho mais importante tem prioridade, seja no anfitrião ou no contentor.

Virtualização da GPU do WDDM

A composição acelerada por hardware é fundamental para uma experiência de utilizador suave e reativa, especialmente para casos de utilização intensiva de gráficos. A Microsoft trabalha com os respetivos parceiros de ecossistema gráfico para integrar as funcionalidades de virtualização de gráficos modernas diretamente no DirectX e no Windows Display Driver Model (WDDM), o modelo de controlador utilizado pelo Windows.

Esta funcionalidade permite que os programas em execução no sandbox compitam por recursos de GPU com aplicações em execução no anfitrião.

Um gráfico ilustra a utilização do kernel gráfico no Sandbox gerido juntamente com aplicações no anfitrião.

Para tirar partido destas vantagens, é necessário um sistema com uma GPU compatível e controladores gráficos (WDDM 2.5 ou mais recente). Os sistemas incompatíveis compõem aplicações no Área Restrita do Windows com a tecnologia de composição baseada na CPU da Microsoft, a Plataforma de Rasterização Avançada do Windows (WARP).

Passagem da bateria

Área Restrita do Windows também está ciente do estado da bateria do anfitrião, o que lhe permite otimizar o consumo de energia. Esta funcionalidade é fundamental para a tecnologia utilizada em portáteis, onde a duração da bateria é frequentemente crítica.