containerd中文翻译系列(十六)runc

最新推荐文章于 2024-07-17 10:08:38 发布

niufw_qb

最新推荐文章于 2024-07-17 10:08:38 发布

阅读量453

点赞数 10

文章标签：云原生 containerd k8s

本文链接：https://blog.youkuaiyun.com/niufw_qb/article/details/136079817

版权

containerd 的 Runc 版本要求

containerd 的构建支持 OCI，并支持由 runc container runtime提供的高级功能。

containerd的开发版（-dev）和预发布版可能依赖于 runc中尚未发布的功能，因此可能需要特定的 runc 版本。版本可以在 script/setup/runc-version文件中找到。该文件可能指向 git-commit（针对预发布版本）或 runc版本库中的标签。

对于定期（非预）发布的 containerd 版本，我们尝试使用已发布的(标记）版本。我们建议使用版本等于或高于 script/setup/runc-version中描述的 runc 版本。

如果遇到任何运行时错误，请确保 runc 与该文件中提供的提交或标记同步。

如果您没有安装正确版本的 runc，可以参考runc文档中的 "构建(building)"部分了解如何从源代码构建 runc。

runc 构建有 SELinux、AppArmor和seccomp支持。

请注意，"seccomp"可以通过传递一个空的 BUILDTAGS make变量来禁用 “seccomp”，但强烈建议保持启用状态。

使用 runc --version 输出来验证你的 runc是否启用了 seccomp。例如:

$ runc --version
runc version 1.0.1
commit: v1.0.1-0-g4144b638
spec: 1.0.2-dev
go: go1.16.6
libseccomp: 2.4.4

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

niufw_qb

关注关注

10
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

容器启动流程（containerd 和 runc）

daemon365的博客

05-26

1220

因为第一个 containerd-shim 会在创建完第二个 containerd-shim 后退出，而作为第一个进程子进程的第二个 containerd-shim 会成为孤儿进程，这样就会被 init 进程接管，而和 containerd 本身脱离了关系。为了保证稳定性和独立性。这样 containerd-shim-runc-v2 的父进程就是 init 进程（1），而 init 进程的父进程是 containerd-shim-runc-v2 进程，这样就形成了一个进程树。可以看到我们的结论是正确的。

docker containerd runc containerd-shim等组件的关系

daemon365的博客

05-26

1276

如果这些容器的进的父进程是 containerd ，那么当 containerd 进程挂掉或者重启时，容器的进程也会挂掉，这样就不符合容器的定义了，所以 containerd 通过 containerd-shim 来调用 runc，这样当 containerd 挂掉时，容器的进程还是会继续运行的。目前 dockershim 组件已经删除，不能使用了，所以 k8s 1.24 版本之后，kubelet 只能和实现了 cri 接口的容器运行时交互，比如 containerd，cri-o 等。

参与评论您还未登录，请先登录后发表或查看评论

源码编译安装runc指定版本

weixin_45066823的博客

08-11

946

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录前言一、pandas是什么？二、使用步骤1.引入库2.读入数据总结前言提示：这里可以添加本文要记录的大概内容：例如：随着人工智能的不断发展，机器学习这门技术也越来越重要，很多人都开启了学习机器学习，本文就介绍了机器学习的基础内容。提示：以下是本篇文章正文内容，下面案例可供参考一、pandas是什么？示例：pandas 是基于NumPy 的一种工具，该工具是为了解决数据分析任务而创建的。二、使用步骤 1.引入库代码

开源项目的 5 年长跑，runc v1.0 终于正式发布！

k8s 生态

06-23

368

“本文我来分享下与我们（搞容器化/K8S 从业者）息息相关的一个基础项目 runc[1] 是如何自 2016 年发布了 v1.0.0-rc1 到现在历经 5 年长跑，从 rc1 一直到 r...

docker runc 版本升级

热门推荐

桐原因的博客

01-12

1万+

1.背景： runc是一个轻量级通用容器运行环境，它允许一个简化的探针到运行和调试的底层容器的功能，不需要整个docker守护进程的接口。 runc存在容器逃逸漏洞，该漏洞是由于挂载卷时，runc不信任目标参数，并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中，但是如果用符号链接替换检查的目标文件时，可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成容器逃逸，最终造成服务器敏感性信息泄露。 2.解决方案将 runc 升

docker runc版本升级 (OCI runtime exec failed: exec failed: unable to start container process: open /dev）

无痕的博客

11-09

4146

1、runc版本升级 2、OCI runtime exec failed: exec failed: unable to start container process: open /dev/pts/0: operation not permitted: unknown

CentOS7安装runc

luckySnow的博客

12-25

3434

本文记录CentOS7安装runc的过程。RunC 是一个轻量级的工具，它是用来运行容器的，只用来做这一件事，并且这一件事要做好。我们可以认为它就是个命令行小工具，可以不用通过 docker 引擎，直接运行容器。事实上，runC 是标准化的产物，它根据 OCI 标准来创建和运行容器。而 OCI(Open Container Initiative)组织，旨在围绕容器格式和运行时制定一个开放的工业化标准。以上就是今天runc安装的过程，本文简单介绍了runc以及runc安装的步骤。

runC 64位安装包，配置containerd使用

12-07

**runC 64位安装包与containerd配置详解** runC是一款轻量级的容器运行时工具，它是OCI（开放容器倡议）的参考实现，主要用于执行和管理符合OCI标准的容器。在 Kubernetes (k8s) 和其他容器编排系统中，runC扮演着...

控制runC的守护进程Containerd.zip

07-18

Containerd 是一个控制 runC 的守护进程，主要是为了性能和密度。Containerd 提供一个命令行客户端和 API，在一个机器上管理容器。Containerd 使用 runC 来根据 OCI 规范运行容器。Containerd 利用 runC 的高级特性...

Containerd组件 —— containerd-shim-runc-v2作用

2301_78834737的博客

07-04

1606

通过《浅析开源容器标准——OCI》、《浅析容器运行时》和《浅析Kubernetes CRI》这三篇博文我们了解了容器标准OCI、容器运行时以及Kubernetes CRI，在本文以当前最火的容器运行时containerd为例，讲解下它是如何运行和管理容器进程的。在讲解containerd是如何运行和管理容器进程前，先通过简单说下Kubelet + CRI + OCI工作流程以回顾下上面三篇博文的内容。Kubelet在节点上接收到Pod的定义（Pod调度到当前节点上）。

runc 文件描述符泄漏漏洞（CVE-2024-21626）

云深海阔专栏

02-20

1025

将我们runc的版本升级到1.1.12。2、下载最新的runc二进制文件。3、查看最新的runc版本号。1、查看现有的版本号。

学习容器你不能错过核心技术runC和Libcontainer

03-14

3454

Libcontainer是一个开源的Linux容器管理库，它是由Docker团队开发的，用于支持Docker容器引擎的底层。Libcontainer提供了一个接口，使得应用程序可以直接访问Linux内核中的容器相关功能，例如命名空间、控制组、文件系统等。而命名空间（通过Linux Namespace）、控制组(Cgroups)、文件系统（rootfs）正是实现容器的核心。

runc 文件描述符泄漏导致容器逃逸漏洞（CVE-2024-21626）

小小的木头人的博客

05-08

988

升级runc版本号 >= 1.1.12。

【Linux】修复 runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)

weixin_47610533的博客

07-17

1427

在runc 1.1.11 及之前的版本中，由于内部文件描述符泄露的问题，攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录，从而允许通过访问宿主文件系统实现容器逃逸等用需要具体的环境，例如允许攻击者提供自定义镜像等。官方已于2024年2月1日发布安全更新，建议相关受影响用户升级。

Docker 一文读懂

zhouzhiwengang的专栏

06-16

3220

Docker 中有非常重要的三个基本概念，理解了这三个概念，就理解了 Docker 的整个生命周期。Docker镜像常用命令 Docker创建容器可选参数Docker 容器限制参数 Docker基本指令 Docker 版本、系统信息（包含镜像和容器的数量信息）和帮助指令 MobaXterm 实际操作 Docker 镜像命令 docker images 查看本地主机的所有镜像 MobaXterm 实际操作列表参数介绍： image指令可选参数： docker searc

初步了解并使用runc

keeper的博客

12-11

2703

简介：官方说明：runC是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI tool 解释说明：简单理解，runc其实就是Docker最核心的部分，runc可以不通过Docker引擎，直接创建，运行，销毁容器。我的环境：系统：CentOS Linux release 7.5.1804 (Core)...

DockOne技术分享（二十八）： OCI标准和runC原理解读

xiaomin1991222的专栏

04-05

904

在过去两年中随着互联网和容器技术的发展，几乎主要的所有的IT供应商和云服务提供商都开始采用以容器技术为基础的解决方案，与容器相关的组织也如雨后春笋般增长。于是为了确保容器的可迁移性，容器格式和运行时标准的建立就显得尤为重要。所以，Linux基金会于2015年6月成立OCI（Open Container Initiative）组织，旨在围绕容器格式和运行时制定一个开放的工业化标准。该组织一成立便得...

安装并运行RunC

weixin_34406086的博客

09-25

1476

本文讲的是安装并运行RunC，【编者的话】 Docker 是时下最为流行的开源容器技术，而 runC又是opencontainer发布的一款根据OCF 规范批量生成和运行容器的CLI工具。现在让我们来认识一下这个工具。 Get runC 在旧金山举行的DockerCon大会上，开放容器项目和一个运行容器的CLI工具runC同时和大家见面。runC是...

RunC升级

虫虫的博客

06-02

4546

1、RunC 是什么？ RunC 是一个轻量级的工具，它是用来运行容器的，只用来做这一件事，并且这一件事要做好。我们可以认为它就是个命令行小工具，可以不用通过 docker 引擎，直接运行容器。事实上，runC 是标准化的产物，它根据 OCI 标准来创建和运行容器。而 OCI(Open Container Initiative)组织，旨在围绕容器格式和运行时制定一个开放的工业化标准 2、安装 runC RunC 是用 golang 创建的项目，因此编译它之前需要在本地安装 golang 的开发环境。

containerd containerd-shim containerd-shim-runc-v1 containerd-shim-runc-v2 containerd-stress crictl critest ctd-decoder ctr