Windows 容器化运行:在 Docker 内自动安装并运行完整 Windows
将完整 Windows 系统通过容器化与 KVM 加速实现自动化安装与网页访问,便于在支持 KVM 的 Linux 主机上进行开发、测试与临时桌面使用,但镜像许可与宿主资源约束需由使用者评估和承担风险。
GitHub dockur/windows 更新 2025-08-31 分支 master 星标 43.0K 分叉 3.1K
Shell Dockerfile 容器化虚拟化 自动化安装

💡 深度解析

3
磁盘持久化和扩容如何实现?在多次重建/升级镜像时数据安全吗?

核心分析

问题核心:项目如何实现磁盘持久化与扩容?在容器重建或镜像升级时数据是否安全?

技术分析

  • 持久化机制:通过挂载 ./windows:/storage,项目把 QEMU/虚拟磁盘文件保存在宿主文件系统上,实现与容器生命周期解耦。
  • 扩容流程:README 支持 DISK_SIZE 环境变量以扩展默认磁盘(示例:64GB -> 256G),并指出可以在不丢失数据的情况下放大镜像。通常扩容分两步:先调整虚拟磁盘文件大小,再在 Windows 内部扩展分区。
  • 依赖与风险点:数据安全依赖宿主卷的可靠性与权限;错误的挂载权限或文件系统问题、扩容过程中断或未在 Guest 内扩展分区都会导致可用性问题。

实用建议

  1. 始终使用宿主挂载卷或持久化 PV(Kubernetes)保存 /storage,避免将数据放在容器内层。
  2. 备份关键镜像文件(定期拷贝 storage 目录或使用快照)以应对宿主故障或误操作。
  3. 扩容步骤:先在容器环境设置更大的 DISK_SIZE,确认镜像文件已增长,再在 Windows Guest 中使用磁盘管理工具扩展分区。
  4. 权限与安全:确保宿主目录权限正确且 SELinux/AppArmor 规则允许容器访问。

注意事项

警告:扩容并非自动完成 Windows 内部分区扩展;错误的操作或宿主磁盘故障会导致数据不可用,务必提前备份。

总结:只要使用宿主卷并遵循扩容与备份流程,数据在容器重建/镜像升级间是安全的;风险主要来自宿主层面的存储可靠性和操作错误。

88.0%
在性能和资源分配方面,我应该如何配置以获得接近原生的体验?有哪些限制?

核心分析

问题核心:如何配置以获取接近原生的性能?项目有哪些固有限制?

技术分析

  • /dev/kvm 必不可少:README 明确支持 KVM acceleration,必须在容器运行时映射 /dev/kvm。宿主需启用虚拟化扩展(VT-x/AMD-V)。
  • CPU/内存分配:通过 CPU_CORESRAM_SIZE 环境变量分配资源;建议预留宿主必要资源,避免超承诺引发抖动。
  • 磁盘与 IO:将 ./windows 挂载到性能较好的文件系统或专用块设备,使用 DISK_SIZE 预配置磁盘空间并在宿主层面保证 IOPS/吞吐。

实用建议

  1. 在 Linux 物理主机上运行并确认 lsmod | grep kvmcat /dev/kvm 可访问。
  2. 为关键测试机分配 2+ CPU 核心和 >=4GB RAM(或按 Windows 版本要求),并在宿主上保留额外缓冲。
  3. 将 /storage 放在本地 SSD 或 PV(Kubernetes)上,并监控 IO 性能。
  4. 如果需要 GPU 或高性能图形,考虑传统 VM + GPU passthrough(项目 README 未显示 GPU 支持)。

注意事项

警告:在云 VM(如部分 EC2 类型)或虚拟化宿主上运行可能被禁止嵌套虚拟化;若 /dev/kvm 不可用,将严重影响性能或导致启动失败。

总结:启用 KVM、合理分配 CPU/内存、优化磁盘 IO 可使大多数测试/开发任务接近原生性能,但图形/GPU 密集场景与受限宿主仍无法实现同等表现。

87.0%
在安全与许可方面需要注意什么,项目本身提供了哪些保护措施?

核心分析

问题核心:项目在安全与许可层面有哪些注意点?它能提供哪些防护?

技术分析

  • 端口与默认凭据:示例将 web-viewer(8006)和 RDP(3389)映射到宿主,README 也提示默认凭据存在安全风险,若不加限制会被外界访问。
  • 许可问题:项目自动下载 ISO 并不会处理 Microsoft 的授权与激活;用户需自行保证使用合法许可。
  • 可用的安全钩子:支持将自定义安装脚本放入 OEM(bind mount),可在安装时强制修改密码、安装补丁和配置防火墙;环境变量也可用于配置凭据和访问策略。

实用建议

  1. 上线前首要动作:务必更改默认用户名/密码,并在 Windows 内部创建强密码策略。
  2. 限制网络暴露:不要直接将 3389/8006 暴露到公共互联网;使用防火墙、SSH 隧道或 VPN 进行访问控制。
  3. 处理许可:准备合法的 Windows 许可证和激活流程;将许可相关文件与激活脚本通过绑定卷或 OEM 脚本注入。
  4. 自动化硬化:在 OEM 脚本中预装安全补丁、禁用不必要服务并配置审计策略。

注意事项

重要:项目不负责许可与法律合规;错误的端口暴露或未更改默认凭据会引入严重安全风险。

总结:项目提供便利的安装钩子来实现安全配置,但生产性使用前必须完成凭据更换、访问限制与合法授权核查。

86.0%

✨ 核心亮点

  • 容器内自动安装并运行完整 Windows 系统
  • 支持 KVM 加速、网页查看器与持久化存储
  • Windows 镜像与许可合规性需用户自行负责

🔧 工程化

  • 自动化下载并安装多版本 Windows,提供网页 UI 访问与持久化存储
  • 灵活部署:支持 Docker Compose、Docker CLI、Kubernetes 与 Codespaces 场景

⚠️ 风险

  • 依赖 /dev/kvm 与宿主内核功能,对硬件与内核支持有较高要求
  • 网络与端口暴露、容器特权访问等可能带来安全与合规风险

👥 适合谁?

  • 在 Linux 主机上需进行 Windows 功能验证的开发与测试工程师
  • 需要临时桌面、旧版环境复现或跨平台演示的运维与 QA 团队