Users all users microsoft windows containers baseimages

Что это за диск PortableBaseLayer в Windows 10 1903 и как его отключить

Открыв оснастку управления дисками в последней версии Windows 10, вы неожиданно для себя можете обнаружить базовый диск с файловой системой NTFS и меткой PortableBaseLayer, доступный только для чтения. Этот же диск может быть обнаружен при работе с консольной утилитой Diskpart и прочими сторонними менеджерами дисков. Откуда он и как он мог там появиться, если вы не устанавливали на компьютер дополнительных накопителей и не подключали флешек?

PortableBaseLayer представляет собой виртуальный диск, автоматически создаваемый и подключаемый в Windows 10 1903 при включении компонента Песочница. Физически этот диск представлен файлом BaseLayer.vhdx — контейнером для хранения файлов виртуальной машины. Его размер в оснастке управления дисками указан 8 Гб, но в реальности он меньше 1 Гб.

Убедиться в его наличии вы можете сами, проследовав в Проводнике по адресу:

C:ProgramDataMicrosoftWindowsContainersBaseImagesID

Где ID — идентификатор компонента.

Если вы не пользуетесь Песочницей, то наверняка захотите отключить PortableBaseLayer.

Встроенной оснасткой управления дисками Windows 10 поддерживается создание, подключение и отключение виртуальных дисков, но PortableBaseLayer диск особый и отключить его с помощью штатной оснастки не получится.

Чтобы от него избавиться, вам нужно деактивировать сам компонент «Песочница Windows».

Откройте командой optionalfeatures оснастку «Включение и отключение компонентов Windows», найдите в списке компонент «Песочница Windows», снимите с него галочку и нажмите «OK».

Источник

Базовые образы контейнеров

В Windows предлагается четыре базовых образа контейнера, на основе которых пользователи могут создавать контейнеры. Каждый базовый образ содержит отдельный тип ОС Windows или Windows Server, имеет свой размер на диске и конкретный набор API Windows.

Windows Server Core

Nano Server

Windows

Предоставляет полный набор API Windows.

Windows Server

Предоставляет полный набор API Windows.

Базовый образ Windows Server доступен только с выпуском Windows Server 2022 Insider Preview.

Обнаружение образов

Все базовые образы контейнеров Windows обнаруживаются через Docker Hub. Для обслуживания этих образов контейнеров Windows используется mcr.microsoft.com, реестр контейнеров Майкрософт (MCR). Поэтому команды получения для базовых образов контейнеров Windows выглядят следующим образом:

Реестр MCR не имеет своих средств для каталогов, а предназначен для поддержки уже имеющихся каталогов, таких как Docker Hub. Благодаря глобальному охвату Azure и сочетанию с Azure CDN в MCR реализуется единообразная и быстрая процедура извлечения образа. Клиенты Azure, рабочие нагрузки которых выполняются в Azure, получают такие преимущества, как более высокая производительность в сети и тесная интеграция с MCR (источником образов контейнеров Майкрософт), с Azure Marketplace и все большим числом служб Azure, в которых контейнеры предлагаются в качестве формата пакета развертывания.

Выбор базового образа

Рекомендации

Вы можете выбрать любой образ, но есть ряд рекомендаций.

Базовые образы для участников программы предварительной оценки Windows

Для каждого базового образа контейнера Майкрософт предоставляет версию для предварительной оценки. В таких образах контейнеров содержатся последние и лучшие доработки функций. Эти образы рекомендуется использовать при запуске узла с версией для предварительной оценки Windows (программа предварительной оценки Windows или Windows Server). Приведенные ниже образы для участников программы предварительной оценки доступны в Docker Hub:

Сравнение образов Windows Server Core и Nano Server

Windows Server Core и Nanoserver — самые распространенные базовые образы. Основное различие между этими образами заключается в том, что в Nano Server поверхность API значительно меньше. В образе Nano Server нет PowerShell, WMI и стека обслуживания Windows.

Сравнение Windows и Windows Server

Размер образа Windows Server (3,1 ГБ) немного меньше, чем образа Windows (3,4 ГБ). Образ Windows Server также наследует все улучшения производительности и надежности образа Server Core, имеет поддержку GPU и не ограничивает число подключений IIS. Чтобы использовать образ Windows Server, вам потребуется установка Windows Server 2022 на базе сборки Insider Preview 20344. Дополнительные сведения см. на странице загрузки Windows Insider Preview.

Источник

Container Base Images

Windows offers four container base images that users can build from. Each base image is a different type of the Windows or Windows Server operating system, has a different on-disk footprint, and has a different set of the Windows API set.

Windows Server Core

Nano Server

Windows

Provides the full Windows API set.

Windows Server

Provides the full Windows API set.

Image discovery

All Windows container base images are discoverable through Docker Hub. The Windows container base images themselves are served from mcr.microsoft.com, the Microsoft Container Registry (MCR). This is why the pull commands for the Windows container base images look like the following:

The MCR does not have its own catalog experience and is meant to support existing catalogs, such as Docker Hub. Thanks to Azure’s global footprint and coupled with Azure CDN, the MCR delivers an image pull experience that is consistent and fast. Azure customers, running their workloads in Azure, benefit from in-network performance enhancements as well as tight integration with the MCR (the source for Microsoft container images), Azure Marketplace, and the expanding number of services in Azure that offer containers as the deployment package format.

Choosing a base image

How do you choose the right base image to build upon? For most users, Windows Server Core and Nanoserver will be the most appropriate image to use. Each base image is briefly described below:

Guidelines

While you’re free to target whichever image you want to use, here are some guidelines to help steer your choice:

Base images for Windows Insiders

Microsoft provides «insider» versions of each container base image. These insider container images carry the latest and greatest feature development in our container images. When you’re running a host that is an insider version of Windows (either Windows Insider or Windows Server Insider), it is preferable to use these images. The following insider images are available on Docker Hub:

Windows Server Core vs Nanoserver

Windows Server Core and Nanoserver are the most common base images to target. The key difference between these images is that Nanoserver has a significantly smaller API surface. PowerShell, WMI, and the Windows servicing stack are absent from the Nanoserver image.

Windows vs Windows Server

The Windows Server image (3.1 GB) is slightly smaller in size from the Windows image (3.4 GB). The Windows Server image also inherits all the performance and reliability improvements from the Server Core image, has GPU support, and has no limits for IIS connections. To use the latest Windows Server image, you’ll need a Windows Server 2022 installation. The Windows image is not available for Windows Server 2022.

Источник

C programdata microsoft windows containers baseimages

Открыв оснастку управления дисками в последней версии Windows 10, вы неожиданно для себя можете обнаружить базовый диск с файловой системой NTFS и меткой PortableBaseLayer, доступный только для чтения. Этот же диск может быть обнаружен при работе с консольной утилитой Diskpart и прочими сторонними менеджерами дисков. Откуда он и как он мог там появиться, если вы не устанавливали на компьютер дополнительных накопителей и не подключали флешек?

Ответ очень прост.

PortableBaseLayer представляет собой виртуальный диск, автоматически создаваемый и подключаемый в Windows 10 1903 при включении компонента Песочница. Физически этот диск представлен файлом BaseLayer.vhdx — контейнером для хранения файлов виртуальной машины. Его размер в оснастке управления дисками указан 8 Гб, но в реальности он меньше 1 Гб.

Убедиться в его наличии вы можете сами, проследовав в Проводнике по адресу:

C:ProgramDataMicrosoftWindowsContainersBaseImagesID

Где ID — идентификатор компонента.

Если вы не пользуетесь Песочницей, то наверняка захотите отключить PortableBaseLayer.

Встроенной оснасткой управления дисками Windows 10 поддерживается создание, подключение и отключение виртуальных дисков, но PortableBaseLayer диск особый и отключить его с помощью штатной оснастки не получится.

Чтобы от него избавиться, вам нужно деактивировать сам компонент «Песочница Windows».

Откройте командой optionalfeatures оснастку «Включение и отключение компонентов Windows», найдите в списке компонент «Песочница Windows», снимите с него галочку и нажмите «OK».

В результате компьютер будет перезагружен, функция виртуализации отключена, а вместе с ней отключен и виртуальный диск. Сам файл BaseLayer.vhdx, однако, останется в прежнем расположении, поэтому после всего вам нужно будет зайти в указанную выше папку и удалить его вручную. Исключение составляет Windows 10 Домашняя с принудительно установленной в неё Песочницей, в ней описанный способ отключения диска PortableBaseLayer не сработает.

Last Updated on February 7, 2022 by rudyooms

After seeing Damien van Robaeys doing some awesome stuff with Windows Sandbox, I noticed I didn’t write anything about Windows Sandbox…. Even while I was using it for a while now. So, I decided to do a blog about it.

I will divide this blog into multiple parts:

1.Information about Sandbox
2.Installation of Sandbox
3.How to configure Sandbox?
4.Adding/Changing files/Registry settings in the sandbox Baseline
5.Improving the use of sandbox
6.What you thought wasn’t working with sandbox?

1. Information About Sandbox

Windows Sandbox provides a lightweight desktop environment to safely run applications in a nice protected and isolated environment. You can run sandbox on Windows 10 pro/enterprise or education. Software installed inside the Windows Sandbox environment remains “sandboxed” and runs separately and isolated from the host machine.

The sandbox instance is a dynamically generated image that uses the files from the host filesystem itself. Most OS files are immutable and can be freely shared with Windows Sandbox.

More on this (Reparse points) later.

Sandbox doesn’t have persistent storage, so running Windows Sandbox is temporary. When it’s closed, all the software and files and the config is deleted. You get a brand-new sandbox instance every time you open it. But I guess that one is obvious when looking at this warning when closing Sandbox

When taking a good look at Windows Sandbox you could say it looks much like Application Guard for Office apps. WDAG also launches an Office instance in an isolated environment. And like I told in this blog about Credential Guard: “Virtualization is just like segmentation”

Now we know, Sandbox is almost the same as Windows Defender Application Guard, let’s look at what 3 components it uses to deliver us this fantastic product

*CMservice.DLL

*VMcompute.exe

*VMWP.exe

You could see it for yourself by opening the task manager and take a look at all the running processes.

And by opening “services.msc” You could take a guess where CMService stands for. If that service isn’t running, Sandbox will not work!

Okay, now we are pretty sure it’s “just” a Virtual Machine, there should be a virtual hard disk somewhere with it. And yes there is, open explorer and browse to:

C:ProgramDataMicrosoftWindowsContainersSandboxes

You will notice when you are not running Sandbox only one folder exists and when starting sandbox it will create a second one

Let’s try to open/mount the huge 4 MB VHDX to take a look at what’s inside.

Did you notice the nice grey crosses and the attributes?

These grey crosses are telling us these folders are Reparse Points. A reparse point is best explained as a symbolic link/windows shortcut. It will make sure these folders are linked to the host itself. I guess that’s why the image isn’t that big.

Please note software and applications installed on the host aren’t directly available in the sandbox. If you need specific applications available inside the Windows Sandbox environment, they must be explicitly installed within the environment. More on this on what I am missing in Windows Sandbox and how to improve Sandbox…

2. Installation of Sandbox

It’s very nice to know some background information but we still need to test it. Let’s start the installation of Sandbox.

You can open Powershell and run this command to Install Sandbox

Get-WindowsOptionalFeature -online -FeatureName Containers-DisposableClientVM

Or if you prefer the GUI option:

Of course, when you want to run sandbox inside a VM (just like me) you need to make sure hyper-v nesting is enabled

Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true

3.How to configure Sandbox?

Now we know it’s very easy to install Sandbox we need to know some background information to understand how to configure sandbox. When launching sandbox without any modifications, it will spin up a default image.

However, many times you want to redirect some folders or make sure a startup script is launched when launching sandbox. When you want to make use of some additional folders and installation media, you can use config files that allow you to customize the sandbox during startup.

The sandbox configuration files are formatted as XML and use the .wsb file extension. Of course, you can specify multiple different settings to configure the Windows Sandbox.

I guess this picture explains it all!

So you can configure all options you want in a WSB config file and just double-click on it to start Windows Sandbox with all your defined settings.

Let’s look at this XML file example and how to configure it

<Configuration>
<VGpu>Default</VGpu>
<Networking>Default</Networking>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:Usersrudyoomsdesktopsandbox</HostFolder>
     <ReadOnly>true</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
   <Command>explorer.exe C:usersWDAGUtilityAccountDesktopdesktop</Command>
</LogonCommand>
</Configuration>

I will point out the 2 most important options you can configure:

Shared Folders – This will share a folder from the host with the guest and you can specify if it has read or write permissions.

Startup Script – This script/command will be launched when a sandbox instance spins up

Let’s explain what happens when we launch sandbox with the XML configuration, I showed you above:

My desktop folder sandbox from my host machine (C:UsersrudyoomsDesktopsandbox) will be read-only redirected/mapped to the wdagutilityaccount desktop folder (C:UsersWDAGUtilityAccountDesktopDesktop) of the sandbox guest instance.

When specifying the command “explorer.exe C:usersWDAGUtilityAccountDesktopDesktop” it will open explorer in the desktop folder.

4.Adding/Changing installation files to the Sandbox Baseline

As you know by now, when you launch sandbox, a new clean instance will be started. If we don’t want to use the “shared folder” option, how are we going to add some files to the baseline? There is always another way to get more sand in the sandbox!

It will only take 5 little steps

1. We need to stop the CMservice I showed you earlier before we could change anything, so let’s do so.

2. Open/mount/double click on the baselayer.vhdx. You can find this file inside the C:ProgramDataMicrosoftWindowsContainersBaseImagesguid folder

3. Add files to a specific existing folder as I show below

4. While at it we are also changing the default PowerShell execution policy, otherwise you will need to change it every time sandbox launches. To do so Open Regedit, Click/open the “HKLM” and Click on “file” and “load hive”

and select the “ntuser.dat” from .FilesUsersWDAGUtilityAccountntuser.dat

5. Give it a name and browse to the name you gave it (in the example, I am using “testkey”)

6. Create some new keys as I show below inside the softwaremicrosoft key.

7. After you have created the keys, let’s add the strings necessary to configure the default PowerShell Execution Policy. To do this you will need to create 2 new strings: “Executionpolicy” and “Path”

8. Make sure you unload the registry “hive” and unmount the baselayer.vhdx from your device

9. Start the “Cmservice” service again and open a sandbox instance and you will notice the files you added are persistent available in the container, now let’s check the default PowerShell Execution Policy!

5.Improving the use of Sandbox

As told at the beginning of this blog, I love the possibility of testing an Intunewin file in Windows Sandbox. There could only be one person who created this beautiful tool: Damien!

Download and install it now!

RunInSandbox: Run PS1, VBS, EXE, MSI, intunewin, extract ZIP, share folder directly in Windows Sandbox from a right-click | Syst & Deploy (systanddeploy.com)

The only thing you will need to do after the installation is right-clicking on the file and click on test the intunewin in sandbox and put in the install command.

UPDATE 22-08-2021

After talking to Damien, We noticed there was some confusion about the install command. I am using PowerShell a lot! When you need to launch a Script from within a PowerShell session you will need to enter it like this: “. ” So I did it without even thinking…

But of course, you could also just enter the normal install command: msiexec /i “msifile.msi”/q

It will launch a sandbox instance and it will try to install the package. If it’s not working and you need to start troubleshooting why… just open Powershell as admin and browse to the “run_in_sandbox” desktop folder. You will notice the Intunewin_install script.

When running this script, it will extract the intunewin file to the c:windowstempintunewin folder and from there you could continue to troubleshoot the installation even further!

I love this tool.

6. What you thought wasn’t working with Sandbox?

In my opinion not that much, except for one very important Windows Feature! And that one important could be Dot.Net Framework 3.5.

Or run PowerShell to detect which Dot.Net framework versions are installed.

Get-ChildItem ‘HKLM:SOFTWAREMicrosoftNET Framework SetupNDP’ -recurse |

Get-ItemProperty -name Version,Release -EA 0 |

Where { $_.PSChildName -match ‘^(?!S)p{L}’} |

Select PSChildName, Version, Release

You could ask why I want/need to have Dot.net framework 3.5 inside my sandbox? There could be only one reason, you would think of: PowerShell App Deployment Toolkit (PSADT)!

So why not install Dot.Net manually? You will need to make sure you have enabled the trusted installer when you are installing additional features. You could try it for your own (even when I can tell you it’s not going to work)

Set-Service -Name "Trustedinstaller" -Status running -StartupType automatic
md c:install
$download_url = "https://download.microsoft.com/download/2/0/E/20E90413-712F-438C-988E-FDAA79A8AC3D/dotnetfx35.exe"
$local_download_url = "c:installdot35.exe"

$wc = New-Object net.webclient
$wc.Downloadfile($download_url, $local_download_url)
c:installdot35.exe /q /norestart

Or use the DISM tool, but both will fail:

And here is why…. C:windows may not point to a valid Windows folder…

But luckily!!, it’s a good thing when you don’t move or rename the deploy-application.exe, you don’t need to have dot.net 3.5 installed!

If you choose to rename or move it, it will prompt you for the Dot.net requirement. To resume, you could still test Win32 applications which are deployed with PSADT. But of course, when you are testing win32 applications with a dot.net 3.5 requirement like for example Snelstart, they will give you some dot.net framework errors!

Conclusion

When you are deploying Win32 Apps daily you will know by now what can go wrong but if things go south you will need to know why. Sandbox is the way to go to test the deployment and installation of your Win32 packages even when Dot.net 3.5 is missing

I guess I am going to tell you it once again: Damien his solution is a great addon when using sandbox!