查看docker运行状态_docker商业版受限?请了解下crio

最新推荐文章于 2025-04-10 00:01:50 发布
最新推荐文章于 2025-04-10 00:01:50 发布 · 387 阅读 · 0
文章标签:

#查看docker运行状态

本文探讨了CRI-O与Docker的区别及其在容器运行时领域的应用。介绍了CRI-O作为Kubernetes轻量级容器运行时的发展历程,以及与Docker在架构上的不同之处。此外,还对比了两者在进程停止情况下的表现。

Talk is cheap in Open Source,  show me the way to achieve!

--大魏

552baf98f343677821f2d9bed6f7fc28.png

关于CRI-O前世今生:

  1. 最早的容器格运行时是lxc
  2. Docker最早让容器火起来,docker最开始用lxc,觉得隔离性差,开发libcontainer,最终形成runc。所以说,runc是docker的独生子。
  3. K8S时,发现市面上docker挺火,因此就用docker。
  4. docker越做越重,CoreOS做了rkt容器格式。rkt与K8S协同工作比较好。
  5. 容器运行时格式有点多了,linux基金会主导的开源项目说:我们要做一个container runtime标准。叫OCI。以后容器运行时要符合这个标准。docker的独生子runc在第一时间符合了OCI标准。
  6. K8S为了与容器运行时解耦(主要是docker),提出了CRI(Container Runtime Interface)标准。它是一组与K8S与container runtime进行交互的接口。所以说,CRI和OCI并不冲突:K8S定义的是它调用容器运行时的标准接口,OCI定义的是容器运行时本身的标准。
  7. OCI关于容器运行时的标准提出来以后,红帽想可以专门为K8S做一个轻量级的容器运行时。红帽自然会考虑到它自己全力投入的K8S发布的CRI标准(K8S红帽代码贡献第二),因此决定重用了runc等基本组件来启动容器, 并实现了一个最小的 CRI 接口。它叫CRI-O。所以说,CRI-O是CRI的一种标准实现。
  8. 当Red Hat正在开发其CRI-O,Docker也在研究CRI标准,这导致创建了另一个名为containerd的运行时(实际上是从docker engine剥离出来的)。所以新版本的docker会多一层containerd。kubernetes将containerd接入到cri的标准中。即cri-containerd。
     由于容器的和K8S的发展史,最终暂时形成如下局面:03488c77fc6cf50092afedb67cd0f0b6.png371ff4b8bef2004d328d160b742b61dc.png从概念上,从PaaS顶层到底层的调用关系是:
Orchestration API ->ContainerEngine API ->Kernel API
现有pass平台的调用架构(OpenShift3的模式,调用了docker):
KubernetesMaster->Kubelet->DockerEngine-> containerd -> runc -> Linux Kernel
红帽的主张是(OpenShift4的模式):
Kubernetes Master->Kubelet-> CRI-O -> runc ->Linux kernel
有一些开发者想用如下的模式:
KubernetesMaster->Kubelet->CRI-containerd->containerd -> runc ->Linux kernel

CRIO对于企业而言,最大的好处了消除了docker守护进行的单点故障。

接下来,本文验证下docker和CRIO在进程停止情况下容器的表现。

在RHEL7.8上运行docker 13.1.

[root@repo ~]# cat /etc/redhat-release

Red Hat Enterprise Linux Server release 7.8 (Maipo)

[root@repo ~]# docker version

Client:

 Version:         1.13.1

 API version:     1.26

 Package version: docker-1.13.1-161.git64e9980.el7_8.x86_64

 Go version:      go1.10.3

 Git commit:      64e9980/1.13.1

 Built:           Tue Mar  3 09:15:29 2020

 OS/Arch:         linux/amd64

Server:

 Version:         1.13.1

 API version:     1.26 (minimum version 1.12)

 Package version: docker-1.13.1-161.git64e9980.el7_8.x86_64

 Go version:      go1.10.3

 Git commit:      64e9980/1.13.1

 Built:           Tue Mar  3 09:15:29 2020

 OS/Arch:         linux/amd64

 Experimental:    false

docker处于运行状态:

b2dd9825c19d5e4f90f61f4ca9afff18.png

这个版本的docker已经包含了containerd:

[root@repo ~]# systemctl status docker |grep -i containerd

           ├─3027 /usr/bin/docker-containerd-current -l unix:///var/run/docker/libcontainerd/docker-containerd.sock --metrics-interval=0 --start-timeout 2m --state-dir /var/run/docker/libcontainerd/containerd --shim docker-containerd-shim --runtime docker-runc --runtime-args --systemd-cgroup=true

           └─3149 /usr/bin/docker-containerd-shim-current b076f2741f964d0c691f308e53b2096d98abb1aef44c134963eff6209fbb8c60 /var/run/docker/libcontainerd/b076f2741f964d0c691f308e53b2096d98abb1aef44c134963eff6209fbb8c60 /usr/libexec/docker/docker-runc-current

其架构图是:

708e206fe00218347e1f2ca32735103d.png

我通过docker运行一个gogs容器:

[root@repo ~]# docker ps

CONTAINER ID        IMAGE                                  COMMAND                  CREATED             STATUS              PORTS                                            NAMES

b076f2741f96        repo.ocp4.example.com:5000/gogs/gogs   "/app/gogs/docker/..."   8 days ago          Up 13 minutes       0.0.0.0:10022->22/tcp, 0.0.0.0:10080->3000/tcp   gogs

浏览器访问gogs,正常:

dcec9b0235eb55f6a9637acfe4e1addb.png

停止docker进程:

[root@repo ~]# systemctl stop docker

[root@repo ~]# systemctl status docker

03f4c106f8ad80f7d1f8d2e8daa0143e.png

查看运行的docker容器,已经无法查看:

[root@repo ~]# docker ps

Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

浏览器访问失败。

b51fc04f03235baa0d1b5cc50accc390.png

接下来,我使用我安装好的一套OCP4验证CRIO。

ae4e5ce28d1392f8cd0cf7abb51d957d.png

查看在worker-0上运行的pods,26个:

[centos@lb.weixinyucluster3 ~]$ oc get pods -A -o wide  |grep -i worker-0 |grep -i running |wc -l

26

登录worker-0,查看crio进程状态:

f9c16f0f96cac1baf9e92e791a34aae4.png

关闭crio进程:

[root@worker-0 ~]# systemctl stop crio

e7abcd25350bcf4bf2b45e7b38a38c69.png

查看运行在worker-0上的pod数量,依然是26个:

[centos@lb.weixinyucluster3 ~]$ oc get pods -A -o wide  |grep -i worker-0 |grep -i running |wc -l

26

b323180fffeff6d6ab250b4c0b3ea163.png

启动worker-0节点上的crio,查看其版本:

[root@worker-0 ~]# systemctl start crio

接下来,看一下如何运维CIR-O。主要使用podman。

Podman曾经是CRI-O项目中的一部分,后来被分离出成为一个独立项目,libpod.Podman(Pod Manager)的目标是提供一个跟Docker相似体验的容器CLI,提供给使用者创立和运行容器。podman不需要守护程序,利用用户命名空间模拟容器中的 root,所以 Podman 不需要接入具有 root 权限的 socket。

a7e782b0df026b6f244a0ea56e1c4bda.png

除了podman外,还有buildah和skopeo两个辅助工具。e3b3f779a8ec772284b83d63c179ef78.png
  • buildah实现的是dockerfile的脚本化执行。
  • podman对标的是docker命令的代替。
podman命令行如下:podman images - list imagespodman ps - lists running containerspodman pull - pulls (copies) container image from repository (ie: redhat and/or docker hub)podman run - run a containerpodman logs - display logs of a container (can be used with --follow)podman rm - remove one or more containerspodman rmi - remove one or more imagespodman stop - stops one or more containerspodman kill $(podman ps -q) - kill all running containerspodman rm $(podman ps -a -q) - deletes all stopped containerspodman 原生支持runc。[root@workstation ~]# podman infohost:  BuildahVersion: 1.6-dev  Conmon:    package: podman-1.0.0-2.git921f98f.module+el8+2785+ff8a053f.x86_64    path: /usr/libexec/podman/conmon    version: 'conmon version 1.14.0-dev, commit: be8255a19cda8a598d76dfa49e16e33                                                                             7769d4528-dirty'  Distribution:    distribution: '"rhel"'    version: "8.0"  MemFree: 2311213056  MemTotal: 3964555264  OCIRuntime:    package: runc-1.0.0-54.rc5.dev.git2abd837.module+el8+2769+577ad176.x86_64    path: /usr/bin/runc    version: 'runc version spec: 1.0.0'  SwapFree: 1073737728  SwapTotal: 1073737728  arch: amd64  cpus: 2  hostname: workstation.example.com  kernel: 4.18.0-67.el8.x86_64  os: linux  rootless: false  uptime: 1h 38m 30.4s (Approximately 0.04 days)insecure registries:  registries:  - core.example.com:5000registries:  registries:  - registry.redhat.io  - quay.io  - docker.io  - registry.fedoraproject.org  - core.example.com:5000store:  ConfigFile: /etc/containers/storage.conf  ContainerStore:    number: 0  GraphDriverName: overlay  GraphOptions:  - overlay.override_kernel_check=true  GraphRoot: /var/lib/containers/storage  GraphStatus:    Backing Filesystem: xfs    Native Overlay Diff: "true"    Supports d_type: "true"  ImageStore:    number: 0  RunRoot: /var/run/containers/storage查看镜像:f8ec1b272cab96e4d07bea3b2e32af49.png4ab5e625a3a1345861d2dc72e31ef34e.pngf64925fb28ca8626e58bf0df5827b99b.png70423989b9f30e0f76c19319a534bead.pngc6a0aa2f9f28b5b4a33ee0d8ffb4abaf.png5ebf3de6d7459d8ada2a4ff78e6a8772.png

想更多关注OCP和云原生?请关注书籍:

参考:https://lwn.net/Articles/741897/https://xuxinkun.github.io/2017/12/12/docker-oci-runc-and-kubernetes/http://crunchtools.com/competition-heats-up-between-cri-o-and-containerd-actually-thats-not-a-thing/https://yq.aliyun.com/articles/66626https://blog.youkuaiyun.com/u013812710/article/details/79001463https://www.yangcs.net/posts/cri-o/
KubeSphere通过Ceph CSI对接持久化存储Ceph集群
背锅神童的博客
05-23 1442
kubesphere配置ceph持久化存储,ceph插件可以选择Ceph RBD或Ceph CSI作为Ceph服务器的底层存储插件,Ceph容器存储接口(CSI)是一个用于RBD和CephFS的驱动程序
CRI-O常用命令详解
justlpf的专栏
02-28 1367
CRI-O常用命令详解。
查看docker运行状态_初识 Docker
weixin_39615741的博客
12-01 3188
Docker其实这篇文章在一年多前就起好名字了,因为之前自己对 Docker 的镜像,容器等概念比较混淆,所以一直都没有写。由于最近重新看了 Docker 的内容,也将 Docker 应用到自己写的 Python 项目 https://github.com/AD-feiben/qc-remind 中,将该 Python 项目制作成一个 Docker 镜像,在使用起来非常方便,所以用这篇文章记录一下...
docker查询是否运行
qq_36694046的博客
11-26 2357
如果Docker正在运行docker info将显示Docker的详细信息,而docker ps将列出当前运行的容器。如果Docker没有运行,这些命令将会返回错误,提示Docker守护进程没有运行。这些命令会告诉您Docker服务是否正在运行以及其状态。# 在系统使用systemd的情况下。# 在系统使用init.d的情况下。
kubeadm搭建k8s集群(docker+crio
WayJasy的博客
04-03 1843
前置说明 master节点CRI: docker node节点CRI:crio 机器版本:ubuntu 20.4 CRI版本:crio 1.20.7 docker 20.10.7 k8s版本:1.20.12 kubelet、kubeadm、kubectl:1.20.12 前提条件 1、集群中所有机器网络互连 2、不可有重复主机名、mac地址 3、禁用交换分区 前置操作 禁用交换分区 swapoff -a 关闭防火墙 systemctl stop firewalld master节点搭建步骤 1、.
docker 启动,关闭,查看运行状态
热门推荐
datouniao1的博客
10-24 6万+
启动docker systemctlstartdocker 关闭docker systemctlstopdocker 查看docker运行状态 systemctlstatusdocker [root@izr86o15kikb3az /]# systemctl status dockerdocker.service - Docker Application Cont...
Docker常用的基本查看命令
m0_37395203的博客
08-16 4403
说明:命令用于列出 Docker 容器的状态。这个命令可以显示正在运行的容器,默认情况下只显示运行中的容器。
容器化趋势下的嵌入式革命:Docker与Buildroot整合的6大可行性方案
[容器化趋势下的嵌入式革命:Docker与Buildroot整合的6大可行性方案](https://www.provision.ro/wp-content/uploads/2020/11/Architecture_Container_security.png) # 1. 容器化与嵌入式系统的融合背景 随着边缘...
【嵌入式Docker化实战指南】:揭秘9大核心场景与落地解决方案
![Docker化](https://ucc.alicdn.com/pic/developer-ecology/6ws7ivezpz5lu_74e6f6fad69946e7b936461eddd873d0.png?...# 1. 嵌入式系统与Docker融合的...早期受限于ARM架构支持与系统开销,Docker在嵌入式系统的应用多集
LabVIEW键盘与外部设备联动实战:PLC_IO模块同步控制的4大关键技巧
# 摘要 本文围绕LabVIEW平台展开,系统探讨了其与外部设备联动控制的实现机制,重点分析了键盘输入与PLC_IO模块之间的协同控制原理与实践方法。文章从事件驱动结构、通信协议、数据与控制...状态机;工业自动化 参考
Kubernetes 深入浅出系列 | 容器剖析之容器安全
最新发布
weixin_48711696的博客
04-10 1553
容器提升了交付效率,但不当使用 --privileged 或以 root 用户运行,可能带来严重安全隐患。本文系统解析容器特权机制风险,并介绍 User Namespace 与 Rootless 等实用加固方案,助你构建更安全的容器环境。
基于Centos7安装k8s集群
justlpf的专栏
02-16 706
1、部署k8s的两种方式:目前生产部署Kubernetes集群主要有两种方式:kubeadmKubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。二进制包从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。本实验采用kubeadm的方式搭建集群。2、环境准备2.1 服务器要求:建议最小硬件配置:2核CPU、2G内存、20G硬盘。
Docker 开始收费了?
somenzz的博客
09-09 1万+
2021 年 8 月 31,Docker 宣布 Docker Desktop 将转变为 Docker Personal,它将只免费提供给小型企业、个人、教育和非商业开源项目使用。对于其他用...
Docker基础之containerdshim
m0_43405302的博客
11-28 5346
一、shim containerd下的shim是充当containerd和runc之间的中间件,用来组装runc命令的参数,负责容器中进程的启动。 containerd中调用shim时执行的命令如下: /root/lib-containerd/containerd/bin/containerd-shim {containerID} {bundleDirPath} runc 其中三个参数如下: 1、Arg0:容器Id 2、Arg1:路径 3、Arg2:执行时间 二、主函数main() func main()
Docker系列(二):Docker安装
weixin_34183910的博客
02-08 358
虽然Docker官方推荐将docker运行在Ubuntu系统上,但是因为在生产环境中大部分用的还是CentOS(或者Redhat),所以这里也仅记录在CentOS上安装Docker的方法。Docker安装方法一:Yum安装1、更新yum包# yum update2、安装必要依赖包# yum install -y yum-utils device-mapper-persiste...
关于 Docker
u010230019的博客
11-22 2021
在 Windows 上,它略有不同,与 runc 相当的是微软的主机计算服务(HCS),它包括一个叫runhcs的工具,它本身是 runc 的一个分叉,也实现了开放容器倡议的规范。将所有的用于启动、管理容器的逻辑和代码从 daemon 中移除,意味着容器运行时与 Docker daemon 是解耦的,有时称之为“无守护进程的容器(daemonless container)”,如此,对 Docker daemon 的维护和升级工作不会影响到运行中的容器。runc 是 OCI 容器运行时标准的参考实现。
linux 查看docker容器的系统版本
qq_29007291的博客
11-30 3439
查看容器的系统版本 cat /etc/issue 查看宿主机的系统版本 cat /proc/version 或 uname -a
Docker】/usr/bin/docker-current: Cannot connect to the Docker daemon at unix
zclinux的博客
07-09 4323
报错如下: /usr/bin/docker-current: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?. See '/usr/bin/docker-current run --help'.message内容:Jul 10 01:07:04 docker systemd: docker.service: main process exited, code=e
使用buildah进行镜像构建时,构建速度慢问题解决
weixin_44670774的博客
03-30 514
buildah打包时,在拉取基础镜像时,大的layer出现 CPOYING…一直卡住,时间在五分钟到十分钟,然后才能成功拉到基础镜像。
离线版NVIDIA-Docker安装包nvidia_docker2_files
标题“nvidia_docker2_files.tar.gz”指的是一个压缩文件包,其名称表明它包含与NVIDIA Docker相关的文件,很可能包含了用于安装或配置nvidia-docker2的必要组件。nvidia-docker2是一个为GPU计算场景提供Docker容器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值