k8s中的container-runtime

于 2025-02-10 18:26:50 发布
阅读量766 收藏 18
点赞数 26
CC 4.0 BY-SA版权
分类专栏: # k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woshihlf/article/details/145555862

Kubernetes 支持多种容器运行时,每种运行时都有其独特的优势和适用场景。以下是常见的容器运行时及其与 Kata Containers 的对比,以及 Kubernetes 默认使用的运行时。

1. Kubernetes 支持的容器运行时

Kubernetes 通过 CRI(Container Runtime Interface)与容器运行时交互,支持以下常见的运行时:

(1)containerd
  • 概述containerd 是一个轻量级的容器运行时,专注于容器的核心功能(如镜像管理、容器生命周期管理)。
  • 优点
    • 轻量级,性能高。
    • 与 Kubernetes 集成良好,是 Kubernetes 推荐的运行时之一。
    • 支持 OCI 标准,兼容多种容器镜像。
  • 缺点
    • 不直接提供高级功能(如网络和存储管理),需要依赖其他组件(如 CNI 和 CSI)。
  • 适用场景:通用的容器运行时,适合大多数 Kubernetes 集群。
(2)CRI-O
  • 概述CRI-O 是一个专为 Kubernetes 设计的容器运行时,完全遵循 CRI 标准。
  • 优点
    • 专为 Kubernetes 优化,轻量且高效。
    • 完全开源,社区驱动。
    • 支持 OCI 标准。
  • 缺点
    • 功能相对单一,主要面向 Kubernetes。
  • 适用场景:专注于 Kubernetes 的环境。
(3)Docker(已弃用)
  • 概述:Docker 是最早的容器运行时之一,但在 Kubernetes 1.20 版本后,Docker 作为容器运行时已被弃用。
  • 优点
    • 用户友好,工具链丰富。
    • 社区支持广泛。
  • 缺点
    • 较重,包含大量 Kubernetes 不需要的功能。
    • 已被弃用,不建议在新集群中使用。
  • 适用场景:旧版 Kubernetes 集群或开发环境。
(4)Kata Containers
  • 概述:Kata Containers 提供基于虚拟化的容器运行时,为每个容器或 Pod 提供独立的虚拟机内核。
  • 优点
    • 提供更强的安全性和隔离性。
    • 兼容 OCI 标准,可以与 containerdCRI-O 集成。
  • 缺点
    • 性能开销较大,启动时间较长。
    • 资源占用较高。
  • 适用场景:需要高安全性和隔离性的环境(如多租户、运行不受信任的代码)。
(5)gVisor
  • 概述gVisor 是一个用户空间内核,为容器提供额外的安全隔离。
  • 优点
    • 提供比传统容器更强的安全性。
    • 性能开销低于虚拟机。
  • 缺点
    • 兼容性较差,某些系统调用可能不支持。
    • 性能仍低于传统容器。
  • 适用场景:需要较高安全性但对性能要求不极端的场景。
(6)Firecracker
  • 概述Firecracker 是一个轻量级虚拟机管理器,专注于安全和性能。
  • 优点
    • 启动速度快,资源占用低。
    • 提供虚拟机级别的隔离。
  • 缺点
    • 需要额外集成(如通过 containerdfirecracker-containerd 插件)。
  • 适用场景:需要轻量级虚拟化的环境(如无服务器计算)。

2. 各容器运行时的对比

运行时安全性性能资源占用兼容性适用场景
containerd中等通用场景
CRI-O中等专为 Kubernetes 优化的场景
Docker中等中等中等旧版 Kubernetes 或开发环境
Kata中等高安全性场景(如多租户)
gVisor中等中等中等需要较高安全性的场景
Firecracker中等轻量级虚拟化场景(如无服务器)

3. 默认容器运行时

如果创建 Pod 时不配置 runtimeClassName,Kubernetes 会使用集群中配置的默认容器运行时。通常情况下:

  • 在大多数 Kubernetes 集群中,默认运行时是 containerdCRI-O
  • 具体默认运行时取决于集群的安装和配置方式。例如:
    • 使用 kubeadm 安装的集群,默认运行时通常是 containerd
    • 使用特定发行版(如 OpenShift)的集群,默认运行时可能是 CRI-O

4. 如何查看和配置默认运行时

(1)查看默认运行时

可以通过以下方式查看 Kubernetes 节点的容器运行时:

kubectl get node -A -o wide
(2)配置默认运行时

默认运行时通常在 Kubernetes 节点的配置文件中指定。例如:

  • 对于 containerd,配置文件位于 /etc/containerd/config.toml
  • 对于 CRI-O,配置文件位于 /etc/crio/crio.conf

如果需要更改默认运行时,可以修改节点的配置文件并重启相关服务。

5. 总结

  • Kubernetes 支持多种容器运行时,包括 containerdCRI-OKata ContainersgVisorFirecracker
  • 每种运行时都有其独特的优势和适用场景,选择时需根据安全性、性能和资源需求进行权衡。
  • 如果不配置 runtimeClassName,Kubernetes 会使用默认的容器运行时(通常是 containerdCRI-O)。
[Kubernetes] 容器运行时 Container Runtime
959
06-09 1782
容器运行时 Container Runtime
k8s容器运行时(Container Runtime)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-25 2215
容器运行时(Container Runtime)是 Kubernetes 集群中负责管理和执行容器的核心组件,它实现了对容器生命周期的控制,包括创建、启动、停止、删除以及资源隔离、网络配置、存储挂载等功能。在Kubernetes环境中,容器运行时通过遵循Kubernetes定义的Container Runtime Interface (CRI) 来与kubelet(节点代理)交互,确保容器能够在节点上按照Kubernetes的调度和管理要求运行。
k8s之controller-runtime与kubebuilder
fourierr的博客
07-03 1375
k8s之controller-runtime或kubebuilder
我的K8S学习笔记(二)-K8S Runtime安装
zhanglang1212的博客
04-12 630
安装runtime环境,从搭建到排错,到最后所有安装组件验证完成,最后再理解,不容易啊,下一章开始K8S集群初始化。
k8s之从internal version到runtime.codec
fourierr的博客
09-03 563
介绍k8s internal version 和 runtime.serializer 以及 runtime.codec
K8s Runtime从Docker修改为Containerd实践
小末的博客
09-23 1287
​从k8s1.24版本开始默认使用containerd作为容器运行时,当我们1.24之前版本的k8s集群想要升级的话,第一步就是要将Docker改为Containerd。
kubernetes/k8s CRI分析-容器运行时接口分析
良凯尔的博客
08-01 1496
kubernetes CRI分析-k8s CRI分析。kubernetes中有3个功能接口,分别是容器网络接口CNI、容器运行时接口CRI和容器存储接口CSI。本文会对CRI是什么、为什么要有CRI、CRI系统架构做介绍,对CRI所涉及的k8s对象与组件进行介绍,以及k8s对CRI进行相关操作分析
k8s基础知识-日常记录
08-04
k8s中,Pod是运行在Node节点上的最小部署单元,它封装了一个或多个容器以及容器所需的存储、网络等资源。容器共享Pod内的IP地址和存储资源,当Pod内部的容器停止、Node故障或资源不足时,Pod会被自动销毁。由于Pod...
k8s RoCE 部署: k8s-rdma-shared-dev-plugin + macvlan cni
sunshuying1010的博客
05-24 8908
写给自己的入门篇 文章目录前言一、创建 k8s 集群二、启用 primary network三、启用 secondary networkk8s-rdma-shared-dev-pluginMultus CNISecondary CNIMulti-Network CRD四、启用 pod五、在 pod 中启动 RoCE 流量总结 前言 写给自己的扫盲篇。后续会在原理方面持续更新 一、创建 k8s 集群 k8s 集群的创建有多种方法,可以按照官方文档的说明来.
k8s学习-CKS真题-Runtime设置gVisor
关注网络安全、云原生安全
04-08 2055
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。
K8S Runtime 种类多,使用复杂?那是你没明白其中的门道
weixin_33725807的博客
05-15 1043
转载自:K8sMeetup社区ID:Kuberneteschina2作者:吴叶磊(PingCAP)编辑:小君君(才云)近年来,Runtime容器运行时)发展迅速,种类也日渐丰富:Docker、rkt、containerd、cri-o、Kata、gVisor……面对这么多的选择,如果你正打算部署一个容器系统或Kubernetes集群,你会如何选择呢?在这篇文章中,来自P...
容器运行时与k8s概述
weixin_39246554的博客
11-30 5541
k8s
容器一些概念:k8s docker dockershim Containerd runC CRI OCI理解 1.23弃用docker - 含docker containerd通用工具 nerdctl
yuezhilangniao的博客
07-05 1323
K8s 是通过 docker-shim 作为桥接服务,将 CRI 转换为 Docker API,然后与 Dokcer 进行通信的。OCI(Open Container Initiative),可以看做是「容器运行时」的一个标准,Ta 使用 Linux 内核系统调用(例如:cgroups 与命名空间)生成容器,按此标准实现的「容器运行时」有 runC 和 gVisor。实际对容器的操作最终还是要交给 OCI,CRI 也只是个中转。nerdctl通用容器ctl工具
白话 Kubernetes Runtime
cpongo011702
04-08 590
回想最开始接触 k8s 的时候, 经常搞不懂 CRI 和 OCI 的联系和区别, 也不知道为啥要垫那么多的 “shim”(尤其是 containerd-shim 和 dockershim 这两个完全没啥关联的东西还恰好都叫 shim). 所以嘛, 这篇就写一写 k8sruntime 部分, 争取一篇文章把下面这张 Landscape 里的核心项目给白话明白:(以上理由其实都是为了说服自己写写...
5.spring系列- primary使用
qq_32062699的博客
09-21 672
案例 public class NormalBean { public interface IService{} public static class ServiceA implements IService{} public static class ServiceB implements IService{} } bean xml配置: <bean id="serviceA" class="com.spring.beanPrimary.No
k8s教程(基础篇)-安装与配置概述
阿甘兄
06-08 1895
系统由一组可执行程序组成,用户可以通过 在的项目网站下载编译好的二进制文件或镜像文件,或者下载源码并自行将其编译为二进制文件。安装 对软件和硬件的系统要求下图所示: 需要容器运行时(Container Runtime Interface, CRI)的支持,目前官方支持的容器运行时包括: 和 等。宿主机操作系统以为例,使用 系统完成对 服务的配置。为了便于管理,常见的做法是将 服务程序配置为 系统开机自启动的服务。需要注意的是,默认启动了防火墙服务(),而 的与工作之间会有大量的网络通信。安全的
浅谈运行时(runtime)及容器运行时(container runtime
weixin_43970884的博客
03-23 2011
运行时(runtimeruntime 就是一个语言实现的基础, 就好像一个人类最基本的心跳, 呼吸技能一样. runtime 和 库 的区别, 类似于 [人类本身] 与 [人类后天增加的装备] 的区别。 runtime 一般和 compile time 相对,他们在时间上,分别代表运行期和编译期两个时期; 在代码上,runtime 代表程序能正常运行所必需的基础代码。对于解释型语言,它的解释器就是 runtime;对于编译型语言,它的 runtime 可以理解为标准库和系统库中不可或缺的那一部分。比如
【原创】k8s源码分析-----kubelet(7)containerRuntime
月牙寂
04-13 5956
本文QQ空间链接:http://user.qzone.qq.com/29185807/blog/1460533683 本文csdn博客链接:http://blog.youkuaiyun.com/screscent/article/details/51144087 源码为k8s v1.1.1稳定版本   2.6、containerRuntime 1、参数 代码在k8s.io\kubernetes\cm...
基础架构的未来 是 K8s,那么 K8s 的未来在何方?
2401_83916394的博客
04-12 1106
面试前一定少不了刷题,为了方便大家复习,我分享一波个人整理的面试大全宝典Java核心知识整理Java核心知识Spring全家桶(实战系列)其他电子书资料Step3:刷题既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。以下是我私藏的面试题库:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
k8s 1.32 cri-dockerd
最新发布
03-31
### 关于 Kubernetes 1.32 中 cri-dockerd 的兼容性和配置 #### 容器运行时接口 (CRI) 支持的变化 自 Kubernetes 1.20 起,官方宣布逐步淘汰 Docker 作为默认的容器运行时支持[^1]。到 Kubernetes 1.24 版本,Docker 已被完全移除为原生 CRI 实现的一部分。为了继续使用 Docker 作为容器运行时,在这些版本之后需要安装 `cri-dockerd` 来桥接 Docker 和 Kubernetes 的 CRI 接口。 对于 Kubernetes 1.32 版本(假设该版本存在并延续之前的策略),仍然可以通过部署 `cri-dockerd` 来实现对 Docker 的支持。然而需要注意的是,随着 Kubernetes 不断发展,未来可能会彻底放弃对 Docker 的任何形式的支持,因此建议考虑迁移到其他更现代的容器运行时,例如 containerd 或 CRI-O。 #### 配置 cri-dockerd 方法 以下是针对 Kubernetes 1.32 下如何配置和使用 `cri-dockerd` 的具体指导: 1. **安装依赖项** 确保 Linux 系统已正确设置,并满足以下条件: - 安装最新版 Docker。 - 启用并启动 Docker 服务。 参考命令如下: ```bash sudo apt-get update && sudo apt-get install docker.io -y ``` 2. **下载并编译 cri-dockerd** 如果目标环境中未提供预构建二进制文件,则需手动获取源码并完成编译过程。执行以下操作即可获得所需工具链: ```bash git clone https://github.com/Mirantis/cri-dockerd.git cd cri-dockerd make binary ``` 编译完成后会生成可执行程序位于路径 `/usr/local/bin/cri-dockerd`. 3. **创建 systemd 单元文件** 将下面的内容保存至 `/etc/systemd/system/cri-docker.service` 文件中以便管理进程生命周期: ```ini [Unit] Description=CRI interface for Docker After=docker.service Requires=docker.service [Service] ExecStart=/usr/local/bin/cri-dockerd --container-runtime-endpoint unix:///var/run/dockershim.sock Restart=always RestartSec=5s [Install] WantedBy=multi-user.target ``` 4. **重启 kubelet 并验证连接状态** 修改 Kubelet 参数使其指向新的 socket 地址 (`unix:///var/run/cri-dockerd.sock`) ,随后重新加载配置以应用更改效果。 更新后的参数应类似于这样: ```yaml runtime-cgroups=/systemd/system.slice network-plugin=cni cgroup-driver=systemd container-runtime=remote remote-runtime-endpoint=unix:///var/run/cri-dockerd.sock image-service-endpoint=unix:///var/run/cri-dockerd.sock ``` 5. **测试环境稳定性** 利用标准 CLI 命令确认组件间交互正常运作无误: ```bash kubectl get nodes crictl ps ``` 以上步骤能够帮助用户成功搭建基于 Kubernetes 1.32 的工作流体系结构,其中包含通过 `cri-dockerd` 进行驱动对接的功能特性[^2]。 #### 注意事项 尽管当前可以借助第三方解决方案维持旧有习惯模式不变,但从长远来看迁移至更加高效稳定的替代品才是明智之举。这不仅有助于减少维护成本还能享受更多功能扩展优势。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值