סחיטה של ​​Windows Server על גבי VPS בעל הספק נמוך באמצעות Windows Server Core

בשל הגרגרנות של מערכות Windows, סביבת ה-VPS נשלטת על ידי הפצות לינוקס קלות משקל: Mint, Colibri OS, Debian או Ubuntu, נטולת סביבת שולחן עבודה כבדה מיותרת למטרותינו. כמו שאומרים, רק קונסולה, רק הארדקור! ולמעשה, זו לא הגזמה בכלל: אותה דביאן מתחילה על 256 מגה-בייט של זיכרון וליבה אחת עם מחזור שעון של 1 Ghz, כלומר כמעט על כל "גדם". לעבודה נוחה תצטרכו לפחות 512 מגה-בייט ומעבד מעט מהיר יותר. אבל מה אם נגיד לך שאתה יכול לעשות בערך את אותו הדבר ב-VPS המריץ Windows? למה אתה לא צריך להפעיל שרת Windows כבד, שדורש שלושה עד ארבעה הקטרים ​​של זיכרון RAM ולפחות כמה ליבות עם שעון במהירות 1,4 גיגה-הרץ? פשוט השתמש ב-Windows Server Core - היפטר מה-GUI ומחלק מהשירותים. נדבר על איך לעשות זאת במאמר.

מי זו ליבת Windows Server?

אין מידע ברור על מה זה Windows (שרת) Core אפילו באתר הרשמי של מייקס, או ליתר דיוק, הכל כל כך מבלבל שם שלא תבינו מיד, אבל האזכורים הראשונים מתוארכים לעידן של Windows Server 2008 בעיקרו של דבר, Windows Core הוא שרת ליבת Windows פועל (פתאום!), "דק יותר" בגודל ה-GUI שלו וכמחצית מהשירותים הצדדיים.

התכונה העיקרית של Windows Core היא החומרה הלא תובענית שלה ושליטה מלאה בקונסולה באמצעות PowerShell.

אם תכנסו לאתר של מיקרוסופט ותבדקו את הדרישות הטכניות, אז כדי להפעיל את Windows Server 2016/2019 תזדקקו לפחות ל-2 גיגה RAM ולפחות ליבה אחת עם מהירות שעון של 1,4 גיגה-הרץ. אבל כולנו מבינים שעם תצורה כזו אנחנו יכולים רק לצפות שהמערכת תתחיל, אבל בהחלט לא את הפעולה הנוחה של מערכת ההפעלה שלנו. זו הסיבה שבדרך כלל מוקצה ל-Windows Server יותר זיכרון ולפחות 2 ליבות/4 שרשורים מהמעבד, אם הם לא מספקים לו מכונה פיזית יקרה באיזה Xeon, במקום מכונה וירטואלית זולה.

יחד עם זאת, הליבה של מערכת השרת עצמה דורשת רק 512 מגה-בייט של זיכרון, ומשאבי המעבד הללו שנצרכו על-ידי ה-GUI פשוט כדי לצייר על המסך ולהשאיר את השירותים הרבים שלו פועלים יכולים לשמש למשהו שימושי יותר.

להלן השוואה בין שירותי Windows Core הנתמכים מהקופסה לבין שרת Windows מלא מהאתר הרשמי של Microsoft:

יישום
ליבת שרת
שרת עםחוויית שולחן העבודה

שורת הפקודה
זמין
זמין

Windows PowerShell/Microsoft .NET
זמין
זמין

Perfmon.exe
לא זמין
זמין

Windbg (GUI)
נתמך
זמין

Resmon.exe
לא זמין
זמין

Regedit
זמין
זמין

Fsutil.exe
זמין
זמין

Disksnapshot.exe
לא זמין
זמין

Diskpart.exe
זמין
זמין

Diskmgmt. msc
לא זמין
זמין

devmgmt.msc
לא זמין
זמין

מנהל שרתים
לא זמין
זמין

mmc.exe
לא זמין
זמין

Eventvr
לא זמין
זמין

Wevtutil (שאילתות אירוע)
זמין
זמין

Services.msc
לא זמין
זמין

לוח בקרה
לא זמין
זמין

Windows Update (GUI)
לא זמין
זמין

Windows Explorer
לא זמין
זמין

שורת משימות
לא זמין
זמין

התראות בשורת המשימות
לא זמין
זמין

taskmgr
זמין
זמין

Internet Explorer או Edge
לא זמין
זמין

מערכת עזרה מובנית
לא זמין
זמין

מעטפת Windows 10
לא זמין
זמין

ב- Windows Media Player
לא זמין
זמין

PowerShell
זמין
זמין

PowerShell ISE
לא זמין
זמין

PowerShell IME
זמין
זמין

Mstsc.exe
לא זמין
זמין

שירותי שולחן עבודה מרוחק
זמין
זמין

מנהל Hyper-V
לא זמין
זמין

כפי שאתה יכול לראות, הרבה נחתך מ-Windows Core. השירותים והתהליכים הקשורים ל-GUI של המערכת, כמו גם כל "זבל" שאין בו צורך בהחלט במכונה הוירטואלית של הקונסולה שלנו, למשל, Windows Media Player, עברו מתחת לסכין.

כמעט כמו לינוקס, אבל לא זה

אני באמת רוצה להשוות את Windows Server Core עם הפצות לינוקס, אבל למעשה זה לא לגמרי נכון. כן, מערכות אלו דומות זו לזו מבחינת צריכת משאבים מופחתת עקב נטישת ה-GUI ושירותי צד רבים, אבל מבחינת תפעול וכמה גישות להרכבה, עדיין מדובר ב-Windows, ולא במערכת Unix.

הדוגמה הפשוטה ביותר היא שעל ידי בנייה ידנית של ליבת לינוקס ואז התקנת חבילות ושירותים, אפילו הפצת לינוקס קלת משקל יכולה להפוך למשהו כבד ודומה לאולר שוויצרי (כאן אני באמת רוצה לעשות בדיחה באקורדיון על פייתון והכנס תמונה מהסדרה "אם שפות תכנות היו נשק", אבל לא נעשה זאת). ב-Windows Core יש הרבה פחות חופש כזה, כי אנחנו, אחרי הכל, מתעסקים במוצר של מיקרוסופט.

Windows Server Core מגיע מוכן, את תצורת ברירת המחדל שלה ניתן להעריך מהטבלה שלמעלה. אם אתה צריך משהו מהרשימה הלא נתמכת, תצטרך להוסיף את האלמנטים החסרים באינטרנט דרך הקונסולה. נכון, לא כדאי לשכוח את הפיצ'ר לפי דרישה ואת היכולת להוריד רכיבים כקבצי CAB, שאותם ניתן להוסיף למכלול לפני ההתקנה. אבל הסקריפט הזה לא עובד אם אתה כבר מגלה במהלך התהליך שחסר לך אחד משירותי החיתוך.

אבל מה שמבדיל את גרסת Core מהגרסה המלאה הוא היכולת לעדכן את המערכת ולהוסיף שירותים מבלי להפסיק את העבודה. Windows Core תומך בגלגול חם של חבילות, ללא אתחול מחדש. כתוצאה מכך, בהתבסס על תצפיות מעשיות: יש לאתחל מכונה המריץ את Windows Core בתדירות של ~6 פעמים פחות ממכונה שבה פועל Windows Server, כלומר אחת לשישה חודשים, ולא פעם בחודש.

בונוס נעים למנהלים הוא שאם המערכת משמשת כמתוכנן - דרך הקונסולה, ללא RDP - ולא הופכת ל-Windows Server שני, אז היא הופכת מאובטחת ביותר בהשוואה לגרסה המלאה. אחרי הכל, רוב הפגיעויות של Windows Server נובעות מ-RDP ומפעולות המשתמש שדרך אותו RDP עושה משהו שאסור לעשות. זה משהו כמו הסיפור עם הנרי פורד והיחס שלו לצבע של מכונית: "כל לקוח יכול לצבוע מכונית בכל צבע שהוא רוצה כל עוד הוא שחור" זה אותו דבר עם המערכת: המשתמש יכול לתקשר עם המערכת בכל דרך, העיקר שהוא עושה את זה באמצעות קונסולת.

התקן ונהל את Windows Server 2019 Core

הזכרנו קודם לכן ש-Windows Core הוא בעצם Windows Server ללא מעטפת ה-GUI. כלומר, אתה יכול להשתמש כמעט בכל גרסה של Windows Server כגרסת ליבה, כלומר, לנטוש את ה-GUI. עבור מוצרים במשפחת Windows Server 2019, זהו 3 מתוך 4 בניית שרתים: מצב ליבה זמין עבור Windows Server 2019 Standard Edition, Windows Server 2019 Datacenter ו-Hyper-V Server 2019, כלומר, רק Windows Server 2019 Essentials אינו נכלל מתוך רשימה זו.

במקרה זה, אתה לא באמת צריך לחפש את חבילת ההתקנה של Windows Server Core. במתקין הסטנדרטי של מיקרוסופט, גרסת הליבה מוצעת ממש כברירת מחדל, בעוד שגרסת ה-GUI חייבת להיבחר באופן ידני:

למעשה, יש יותר אפשרויות לניהול המערכת מאשר זו שהוזכרה PowerShell, המוצעת על ידי היצרן כברירת מחדל. אתה יכול לנהל מכונה וירטואלית ב-Windows Server Core לפחות בחמש דרכים שונות:

• PowerShell מרחוק;
• כלי ניהול שרת מרחוק (RSAT);
• מרכז הניהול של Windows;
• Sconfig;
• מנהל שרת.

שלושת התפקידים הראשונים מעניינים ביותר: PowerShell סטנדרטי, RSAT ו-Windows Admin Center. עם זאת, חשוב להבין שבעוד שאנו מקבלים את היתרונות של אחד הכלים, אנו מקבלים גם את המגבלות שהוא מטיל.

לא נתאר את היכולות של הקונסולה; PowerShell היא PowerShell, עם היתרונות והחסרונות הברורים שלה. עם RSAT ו-WAC הכל קצת יותר מסובך. 

WAC נותן לך גישה לבקרות מערכת חשובות כגון עריכת הרישום וניהול דיסקים והתקנים. RSAT במקרה הראשון עובד רק במצב תצוגה ולא יאפשר לך לבצע שינויים כלשהם, ולנהל דיסקים והתקנים פיזיים. Remote Server Administration Tools דורש GUI, מה שלא במקרה שלנו. באופן כללי, RSAT לא יכול לעבוד עם קבצים ובהתאם, עדכונים, התקנה/הסרה של תוכנות בעריכת הרישום.

▍ניהול מערכת

 

עמותת מען
RSAT

ניהול רכיבים
כן
כן

עורך הרישום
כן
לא

ניהול רשת
כן
כן

צופה באירועים
כן
כן

תיקיות משותפות
כן
כן

ניהול דיסק
כן
רק לשרתים עם GUI

מתזמן המשימות
כן
כן

ניהול מכשירים
כן
רק לשרתים עם GUI

ניהול קבצים
כן
לא

ניהול משתמשים
כן
כן

ניהול קבוצה
כן
כן

ניהול תעודות
כן
כן

עדכונים
כן
לא

הסרת התקנה של תוכניות
כן
לא

צג מערכת
כן
כן

מצד שני, RSAT נותן לנו שליטה מלאה על התפקידים במחשב, בעוד שמרכז הניהול של Windows לא יכול לעשות שום דבר בהקשר הזה. להלן השוואה של היכולות של RSAT ו- WAC בהיבט זה, לשם הבהירות:

▍ניהול תפקידים

 

עמותת מען
RSAT

הגנת חוטים מתקדמת
תצוגה מקדימה
לא

Defender Windows
תצוגה מקדימה
כן

מיכלים
תצוגה מקדימה
כן

מרכז אדמיניסטרטיבי
תצוגה מקדימה
כן

AD Domain ונאמנויות
לא
כן

אתרים ושירותי AD
לא
כן

DHCP
תצוגה מקדימה
כן

DNS
תצוגה מקדימה
כן

מנהל DFS
לא
כן

מנהל לע"מ
לא
כן

מנהל IIS
לא
כן

כלומר, כבר ברור שאם נוטש את ה-GUI וה-PowerShell לטובת פקדים אחרים, לא נוכל להתחמק משימוש בכלי מונו-כלי כלשהו: לניהול מלא בכל החזיתות, נצטרך לפחות שילוב של RSAT ו-WAC.

עם זאת, עליך לזכור כי תצטרך לשלם 150-180 מגה-בייט של זיכרון RAM כדי להשתמש ב-WAC. כאשר הוא מחובר, מרכז הניהול של Windows יוצר 3-4 מפגשים בצד השרת, שאינם נהרגים גם כאשר הכלי מנותק מהמחשב הוירטואלי. WAC גם לא עובד עם גרסאות ישנות יותר של PowerShell, אז תצטרך לפחות PowerShell 5.0. כל זה נוגד את פרדיגמת הצנע שלנו, אבל אתה צריך לשלם עבור נוחות. במקרה שלנו - RAM.

אפשרות נוספת לניהול Server Core היא התקנת ה-GUI באמצעות כלים של צד שלישי, כדי לא לגרור את טונות הזבל שמגיעות עם הממשק בהרכבה מלאה.

במקרה זה, יש לנו שתי אפשרויות: לגלגל את האקספלורר המקורי למערכת או להשתמש באקספלורר++. כחלופה לאחרון, כל מנהל קבצים מתאים: Total Commander, FAR Manager, Double Commander וכן הלאה. האחרון עדיף אם שמירת זיכרון RAM היא קריטית עבורך. אתה יכול להוסיף את Explorer++ או כל מנהל קבצים אחר על ידי יצירת תיקיית רשת והפעלתה דרך הקונסולה או מתזמן.

התקנת Explorer מן המניין תעניק לנו הזדמנויות רבות יותר מבחינת עבודה עם תוכנה המצוידת בממשק משתמש. בשביל זה אנחנו יצטרך ליצור קשר ל- Server Core App Compatibility Feature on Demand (FOD) שתחזיר את MMC, Eventvwr, PerfMon, Resmon, Explorer.exe ואפילו Powershell ISE למערכת. עם זאת, נצטרך לשלם עבור זה, כפי שקורה עם WAC: נאבד באופן בלתי הפיך כ-150-200 מגה-בייט של זיכרון RAM, שיישלל ללא רחם על ידי explorer.exe ושירותים אחרים. גם אם אין משתמש פעיל במכונה.

כך נראית צריכת הזיכרון על ידי המערכת במכונות עם ובלי חבילת Explorer המקורית.

עולה כאן שאלה הגיונית: למה כל הריקוד הזה עם PowerShell, FOD, מנהלי קבצים, אם כל צעד שמאלה או ימינה מוביל לעלייה בצריכת RAM? למה למרוח את עצמך עם חבורה של כלים ולערבב מצד לצד כדי להבטיח עבודה נוחה על Windows Server Core, כאשר אתה יכול פשוט להוריד את Windows Server 2016/2019 ולחיות כמו אדם לבן?

ישנן מספר סיבות להשתמש ב- Server Core. ראשית: צריכת הזיכרון הנוכחית היא כמעט חצי מזה. אם אתה זוכר, מצב זה היה הבסיס למאמר שלנו ממש בהתחלה. לשם השוואה, הנה צריכת הזיכרון של Windows Server 2019, השווה לצילומי המסך ממש למעלה:

וכך, 1146 MB של צריכת זיכרון במקום 655 MB ב-Core. 

בהנחה שאתה לא צריך WAC ותשתמש באקספלורר++ במקום באקספלורר המקורי, אז אתה אתה עדיין תזכה כמעט בחצי דונם בכל מכונה וירטואלית שבה פועל Windows Server. אם יש רק מכונה וירטואלית אחת, אז הגידול לא משמעותי, אבל אם יש חמש כאלה? זה המקום שבו יש צורך ב-GUI, במיוחד אם אתה לא צריך אותו. 

שנית, ריקודים כלשהם סביב Windows Server Core לא יובילו אותך להילחם בבעיה העיקרית של הפעלת Windows Server - RDP והאבטחה שלו (ליתר דיוק, היעדר מוחלט שלו). Windows Core, אפילו מצופה ב-FOD, RSAT ו-WAC, הוא עדיין שרת ללא RDP, כלומר, הוא אינו רגיש ל-95% מההתקפות הקיימות.

נוֹתָר

באופן כללי, Windows Core שמנה רק במעט מכל הפצת לינוקס במניות, אבל היא הרבה יותר פונקציונלית. אם אתה צריך לפנות משאבים ומוכן לעבוד עם הקונסולה, WAC ו-RSAT, ולהשתמש במנהלי קבצים במקום ב-GUI מלא, אז כדאי לשים לב ל-Core. יתרה מכך, בעזרתו תוכלו להימנע מתשלום נוסף עבור חלונות מן המניין, ולהוציא את הכסף שנחסך על שדרוג VPS, מוסיף שם, למשל, זיכרון RAM. מטעמי נוחות, הוספנו את Windows Server Core למערכת שלנו זירת מסחר.

מקור: www.habr.com