深入理解 OCI 和 CRI它们之间的关系

原创 于 2025-09-14 11:37:06 发布 · 1k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#k8s

一、OCI (Open Container Initiative / 开放容器倡议)

1. 是什么?

OCI 是一个由 Linux 基金会在 2015 年主导成立的治理委员会和项目。它的诞生背景是,当时 Docker 公司如日中天,几乎成为了容器的代名词。为了避免容器技术被单一厂商(Docker)锁定,并促进容器生态的健康发展,多家行业巨头(包括 Google, Red Hat, IBM, Microsoft, Amazon 等)联合发起了 OCI。

核心目标: 制定容器格式的开放行业标准。让任何人都可以基于这些标准来创建符合规范的容器工具,从而实现不同工具之间的互操作性。

你可以把 OCI 想象成**“容器世界的 ISO 国际标准化组织”**。它不生产任何软件,只负责制定“规则”。

2. 核心规范

OCI 主要发布了两个关键的规范(Specification),它们构成了现代容器技术的基石:

a. 运行时规范
  • 定义了什么? 定义了一个**“解压后的、可运行的容器文件系统包”** 应该是什么样子,以及如何运行它。
  • 核心内容:它规定了一个**config.json** 文件。这个文件是 OCI 运行时规范的灵魂,它描述了运行一个容器所需的所有元数据,包括:
    • 进程信息:要运行的命令、参数、环境变量、工作目录。
    • 根文件系统:指向容器根目录的路径。
    • 用户:以哪个用户身份运行进程。
    • 资源限制:CPU、内存的 cgroups 配置。
    • 安全配置:Linux capabilities、seccomp 规则、namespaces 配置。
    • 挂载点:需要挂载的 proc, sysfs, devpts 等伪文件系统。
  • 作用:任何一个符合 OCI Runtime 规范的工具(称为 OCI Runtime),只要拿到这个 config.json 和对应的文件系统,就能以完全相同的方式启动这个容器。这实现了运行时的标准化
  • 著名实现
    • runc:这是 OCI Runtime 规范的参考实现,也是目前使用最广泛的容器运行时。它由 Docker 贡献出来,现在是 CNCF 的毕业项目。Docker, containerd, CRI-O 底层默认都是用 runc 来实际启动容器的。
    • crun:一个用 C 语言编写的、更轻量级的 OCI Runtime。
    • kata-runtime:一个基于轻量级虚拟机的 OCI Runtime,提供了更强的安全隔离。
b. 镜像规范
  • 定义了什么? 定义了如何创建和打包一个标准的、可移植的容器镜像
  • 核心内容:它规定了一个 OCI 镜像由以下几部分组成:
    • 文件系统层:镜像不是单一的巨大文件,而是由一系列只读的文件系统层 组成。每一层代表了对上一层所做的变更(添加、删除、修改文件)。这种分层设计使得镜像构建、存储和分发都非常高效(可以复用层)。
    • 清单:一个 JSON 文件,可以理解为镜像的“总目录”或“清单”。它引用了镜像的配置文件和所有相关的文件系统层
    • <
最低0.47元/天 解锁文章
CRI-O的原理及应用详解(一)
凛鼕将至的博客
05-01 1374
CRI-O是一个用于运行容器的开源容器运行时项目。它是由Kubernetes社区推动的,旨在提供一个在Kubernetes集群中运行Pod时,符合Open Container Initiative (OCI) 标准的轻量级容器运行时。CRI-O的设计理念是将容器运行时与容器管理器(如Kubernetes)解耦,以提供更灵活、可扩展的容器运行环境。
【云原生 一】 CRIOCI、containerdCRI-O、runc
刘元林的博客
07-29 2677
本文介绍了云原生中的核心组件关系CRI(容器运行时接口)是Kubernetes定义的规范,containerdCRI-O是其实现;OCI提供容器标准,runc是其实现。重点以containerd为例解析了组件协作流程:kubelet通过CRI调用containerd,containerd通过shim调用runc实际管理容器。文章还对比了docker、ctr、runc命令查看容器信息的差异,帮助理解各层抽象关系。通过分析containerd安装包文件功能,清晰展示了从kubelet到容器进程的完整调用链。
容器开放接口规范(CRI OCI)比较
永远sayYES的博客
08-20 2844
CRI VS OCI 一、CRI - Container Runtime Interface 高层次的容器运行时抽象接口,比如怎么从仓库拉取镜像,怎么管理镜像。 containerd 来自Docker,实现了CRI,接受上游的命令(比如Docker,K8S调度),拉取镜像,并管理镜像,然后转交给底层的运行时(比如runC) CRI-O 来自Red Hat, IBM, Intel, SUSE,openshift使用的是CRI-O。 CRI 接口定义 // Runtime service defines the
符合OCI规范的容器运行时 & kubernetes CRI
韦远科的专栏
11-08 1084
参考前一篇文章 目前的docker已经不是之前的docker了,技术栈进行了分层。 docker cli -> dockerd -> containerd -> oci implementation OCI规范,简单来说,包含容器规范镜像规范,具体参考: link 由于引入了OCI,我们可以近乎透明无缝的替换 “docker run”命令 之下的具体实现。 根据自己业务场景的需...
02 - 关于CRIOCI、 Docker、containerd的介绍
朱小胖的博客
12-27 2363
它使 Kubernetes 更容易使用不同的容器运行时。它一个插件接口,也就意味着任何符合该标准实现的容器运行时都可以被 Kubernetes 所使用。shim 翻译为 “垫片”
K8s:一文认知 CRIOCI,容器运行时,Pod 之间关系
山河已无恙
08-30 1848
博文内容整体结构为结合华为云云原生课程整理而来,部分内容做了补充课程是免费的,有华为云账户就可以看,适合理论认知,感觉很不错。有需要的小伙伴可以看看,链接在文末理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》为什么从CRI讲起,因为 k8s 集群使用kubelet服务通过CRI接口对应的runtime(运行时)
K8S 中的 CRIOCICRI shim、containerd
s_alted的博客
07-15 1351
哈喽大家好,我是咸鱼。好久没发文了,最近这段时间都在学 K8S。不知道大家是不是咸鱼一样,刚开始学 K8S、Docker 的时候,往往被 CRIOCICRI shim、containerd 这些名词搞得晕乎乎的,不清楚它们到底是干什么用的。所以今天,咸鱼打算借这篇文章来解释一下这些名词,帮助大家理清它们的关系。我们以 K8S 创建容器的过程为例,来引申出各个概念。
Rust实现OCI规范:oci-lib支持容器运行时图像格式
- 对于有志于容器技术领域深入研究的开发者,建议深入了解OCI规范文档、容器编排技术等,并且关注Rust在这一领域的最新发展。 总结而言,oci-lib作为Rust语言中用于实现OCI规范的库,对于Rust开发者在容器领域进行...
深入理解容器运行时:containerd、CRI-O等
容器技术是一种轻量级、可移植、自包含的技术,可以帮助开发人员更高效地构建、部署运行应用程序。与传统虚拟化技术相比,容器化可以更快速地启动关闭,具有更小的资源消耗,更好的可移植性可复用性。 容器...
Kubernetes中CNI、CRIOCI的定义
最新发布
a1546464545454的博客
08-18 909
CNI负责容器的网络配置管理,确保容器之间以及容器与外部网络之间的连接。CRI提供了 Kubernetes 与容器运行时之间的标准化接口,使得 Kubernetes 可以与不同的容器运行时兼容。OCI定义了容器镜像运行时的标准,确保容器镜像运行时工具之间的互操作性。这些接口标准是 Kubernetes 容器生态系统的基础,确保了容器管理的灵活性、可扩展性互操作性。
一文了解OCI标准、runC、docker、contianerd、CRI关系
weixin_43539320的博客
04-17 4461
docker容器技术的颠覆者,通过轻量级容器化、简单操作命令的方式实现了应用打包交付运行。Docker Daemon整体架构采用C/S模式,主要有客户端服务器两大部分组成。客户端负责发送命令,服务端负责接收命令。Kubernetes为了实现可插拔设计,提供了三个接口,分别是容器网络接口CNI、容器运行时接口CRI、容器存储接口CSI,只要满足相应的接口信息,便可以接入到kubernetes中。
OCICRI、CNI、CSI规范在kubernetes项目体系里的关系
lxlmycsdnfree的博客
12-08 2911
(5)WeaveNet:采用UDP封装实现的L2 Overlayer方案,支持用户态(慢,可加密)内核态(快,无加密)两种实现;(1)OCI(Open Container Initiative):容器开放接口规范,由多家公司共同组成于2015年6月成立的项目(Docker, Google, CoreOS等公司),并由Linux基金会运行管理,旨在围绕容器格式运行时制定一个开放的工业化标准,目前主要有两个标准文档:容器运行时标准 (runtime spec) 容器镜像标准(image spec)。
OCI,CRI,CRI-O,Containerd 名词解释
热门推荐
weixin_40864891的博客
01-26 1万+
CRI,Containerd,OCI
容器OCI CRI关系梳理
mayi_xiaochaun的博客
12-21 784
Kubelet通过CRI接口(gRPC)调用docker-shim,请求创建一个容器这一步中,kubelet可以视作一个简单的CRI Client,而docker-shim就是接收请求的Server, 注意的是docker-shim是内嵌在Kubelet中的 docker-shim收到请求后,转化成Docker Daemon能听懂的请求,发到Docker Daemon上请求创建一个容器 Docker Daemon请求containerd创建一个容器 containerd收到请求后创建一......
K8s、Docker、CRIOCI 之间的爱恨情仇
cab5的博客
12-15 8919
一、背景 由于最近知道了 K8s 新版本(v1.20)确定弃用 Docker 的消息,为了明确是否会对现有系统架构产生响,所以对涉及到的相关技术进行了一定的梳理(索性基本无影响:>)。 二、K8s(版本 < 1.20) 与 Docker 的关系 首先,通过一张图片来说明 K8s(版本<1.20)与 Docker 之间关系。为了能够更好的理解下边的图片,要先交代下 K8s 的一个限制条件: 那就是 K8s 只能与 CRI 运行时通信 对于啥是 CRI 运行时?我们暂可以简单的将 Ta
K8S Runtime CRI OCI contained dockershim 理解
shufanhao.top Blog
06-02 7458
在docker/k8s时代,经常听到CRI, OCI,contained各种shim等名词,看完本篇博文,您会有个彻底的理解。 典型的K8S Runtime架构 从最常见的Docker说起,kubeletDocker的集成方案图如下: 当kubelet要创建一个容器时,需要以下几步: Kubelet 通过 CRI 接口(gRPC)调用 dockershim,请求创建一个容器。CRI 即容器...
理解OCI(Open Container Initiative)及docker的OCI实现(转)
weixin_34008933的博客
05-15 1459
OCI定义了容器运行时标准,runC是Docker按照开放容器格式标准(OCF, Open Container Format)制定的一种具体实现。 runC是从Docker的libcontainer中迁移而来的,实现了容器启停、资源隔离等功能。Docker默认提供了docker-runc实现,事实上,通过containerd的封装,可以在Docker D...
看图秒懂 | 昨天才发布的容器新项目Kata到底能干啥?
开源云中文社区
12-07 8639
导读      当前容器运行的最大支撑平台是私有云,也就是在私有云上的虚拟机中运行容器实例。一个虚拟机上可运行多个用户的、不同应用的容器实例,不同实例之间共享同一个虚拟机操作系统内核并采用  Namespaces  来隔离。 Kata  容器运行时是采用轻量级虚拟机来运行某一个用户的、一个应用的一个或多个容器实例, 这样的好处是利用不同用户、不同应用之间,都是使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值