IIS6架构模型:工作进程(Worker Process)
1,概述
在IIS6架构模型中,工作进程(Worker Process , W3WP.exe) 又称为W3Core。
在W3SVC的管理和监控下,W3Core(W3WP.exe)负责对用户的web应用程序进行管理。它的主要功能是在一个名为W3Core.dll的动态联接库中实现的。在IIS5.0隔离模式下,这个DLL可以被加载到Inetinfo.exe进程中;在IIS6默认隔离模式(应用程序隔离模式)下,这个DLL可以被加载到W3WP.exe进程中。
打开IIS6环境下的管理器界面,设置两个Web站点(站点名称:DefaultWeb Site,msnotebooks)分别对应到两个应用程序池(名称:DefaultAppPool,msnotebooks),如下:
2,Application Pools/Worker Process关系
ü 在IIS6.0中,每一个用户web应用程序都会运行在一个应用程序池中。这个应用程序池可以是IIS默认的应用程序池,也可以是用户自定义的应用程序池。
ü 在应用程序池中,存在着一个或者多个工作进程。
ü 每个工作进程只能属于一个特定的应用程序池,由这些工作进程来负责管理应用程序池中的用户web应用程序
他们的结构关系如下图所示:
(图 )应用程序池
如图所示,每个应用程序池里面可以有多个工作进程在工作。说明如下:
如果,我们将应用程序池比喻成为一座公寓,那么在公寓里面的那些住户就是一个个web应用程序,而公寓的物业的管理人员就是工作进程。如果公寓比较大,住户比较多,那么就可能需要有多个物业管理人员。也就是说,
3,W3Core安全性
在IIS5.0或更早的版本中,用户的web应用程序是允许运行在进程内的。他们使用系统(System)帐户运行。这个系统帐户是:IWAM_计算机名。因为是在系统帐户下运行,所以这些web应用程序有比较高的权限。
在IIS6.0中,默认情况下,w3wp.exe的所有实例都在一个权限有限的“网络服务”帐户下运行。如下图所示:
(图 )网络帐户的配置
默认的“网络服务”帐户不能写入Inetpub文件夹,执行权限也极其有限,所以在一定程度上提高了IIS的安全性。
当然,用户可以在需要的情况下为W3WP.exe配置新的运行帐户。这样做的好处是:一旦一个web应用被攻击成功,攻击者只能访问当时运行的工作进程的帐户有权访问的资源,
4,W3Core性能
在IIS5.0中,由WWW服务负责将用户的http请求转发给web应用程序处理,并负责将web应用程序处理的结果返回给用户。
这一处理的流程如下图所示:
(图为IIS5.X)用户请求的处理过程
在这个过程中,数据需要经过多次传递和转化,这些传递和转换主要包括:
ü 内核模式到用户模式的转化。TCPIP.sys运行在内核模式下,IIS运行在用户模式下。这个转化一项系统开销很大的操作。
ü IIS负责对用户的http请求进行监听。
ü IIS负责用户http请求的筛选。即,确定由哪个web应用程序来处理用户的请求。
因此,IIS5.0的这种对用户的http请求的处理过程对IIS的性能有很大的影响。
在IIS6.0中,除了将WWW服务从Inetinfo.exe进程中独立了出来,作为一个单独的组件(W3SVC)来处理外,还将接收用户http请求的功能从W3SVC中分离了出来。
接收用户http请求的功能现在由W3Core来实现。W3SVC仅负责对W3Core进行创建和监控,不再负责对用户http请求进行处理。因此,在处理用户的http请求的时候,内核模式下的HTTP.SYS直接监听用户的http请求,并将用户的http请求直接转发给W3Core。并由W3Core所管理的web应用程序来处理用户的http请求。这一操作过程如下图所示:
(图 IIS6.X)用户请求的处理过程
1418
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
