浅析容器运行时

原创 于 2025-08-18 15:05:06 发布 · 684 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#容器

一、容器运行时的核心定义

容器运行时是管理容器全生命周期(加载镜像、创建隔离环境、启动/停止/销毁容器、监控资源)的软件组件,核心目标是:

  1. 实现容器与宿主机的资源隔离(依赖内核能力或虚拟化技术);
  2. 简化容器的部署与管理,确保兼容性(如遵循 OCI 规范)。

其本质是“运行容器的工具链”,按功能复杂度和隔离技术,可分为 低级运行时、高级运行时、沙盒/虚拟化运行时 三类。

二、三类容器运行时的详细解析

1. 低级运行时(Low-level Runtime)
  • 核心定位:遵循 OCI 运行时规范的“最小执行引擎”,仅负责将 rootfs + config.json 转换为隔离进程,不处理上层复杂逻辑。
  • 核心能力(与你补充内容一致):
    • 依赖 Linux 内核的 Namespace(实现进程、网络、UTS 等隔离)和 CGroup(限制 CPU/内存/IO 资源);
    • 加载 rootfs(需外部提供,自身不处理镜像),执行容器内初始化进程(如 /bin/bash);
    • 不包含镜像管理、网络/持久存储实现,需依赖外部工具(如 CNI 提供网络、CSI 提供存储)。
  • 特点
    • 优点:轻量、高性能、灵活(可被不同高级运行时调用);
    • 缺点:功能单一,不认识“镜像”(无法拉取/解压镜像),需手动准备 rootfs 和 config.json。
  • 主流工具:runc(OCI 参考实现)、crun(C 语言编写,启动更快)、runhcs(Windows 专属)。
2. 高级运行时(High-level Runtime)
  • 核心定位:基于低级运行时构建的“全功能管理中枢”,解决低级运行时的痛点(镜像处理、网络/存储集成),并对外提供标准化接口(如 gRPC、CRI)。
  • 核心能力(结合技术细节补充):
    • 打通 OCI 镜像规范与运行时规范(核心要务):
      1. 镜像处理:拉取镜像(从 Registry 获取 manifest)→ 校验/存储镜像层(建立 layer sha256 索引,避免重复下载)→ 解压 layer 为文件系统层(fs layer)→ 用 UnionFS 写时复制(CopyOnWrite) 合并 fs layer 为 rootfs(外层 work 目录承接写操作,保护底层共享层);
      2. 生成 config.json:结合镜像元数据(如 ENV、CMD)和用户需求(如资源限制),生成符合 OCI 规范的配置文件。
    • 容器生命周期编排:调用低级运行时执行“启动/停止/删除”,并通过 container meta(元数据) 管理容器状态(存储容器 ID、image 信息、work layer 路径等,支持故障恢复)。
    • 扩展能力集成:对接 CNI(容器网络,如创建虚拟网卡)、CSI(持久化存储,如挂载数据卷),以及日志收集、健康检查等。
  • 特点
    • 优点:功能全面,支持镜像全流程管理,可对接 Kubernetes 等编排工具;
    • 缺点:复杂度高,资源消耗比低级运行时略高。
  • 主流工具:Containerd(Docker 拆分,K8s 推荐)、CRI-O(专为 K8s 设计,轻量无冗余)、Docker Engine(一体化工具,内置高级+低级运行时)。
3. 沙盒/虚拟化运行时(Sandboxed/Virtualized Runtime)
  • 核心定位:以“安全隔离”为核心目标,通过沙盒技术或轻量级虚拟化增强容器隔离性(突破传统 Namespace 隔离的局限性)。
  • 核心能力
    • 隔离原理:不直接依赖宿主机内核的 Namespace,而是通过“中间层”隔离容器与宿主机:
      • 沙盒型(如 gVisor):用用户态程序模拟内核系统调用,拦截容器对宿主机内核的直接访问;
      • 虚拟化型(如 Kata Containers):为每个容器分配一个轻量级虚拟机(VM),容器进程运行在 VM 内,实现硬件级隔离。
  • 特点
    • 优点:隔离性极强(适合多租户场景或运行不可信镜像),安全性远高于传统运行时;
    • 缺点:性能开销高(虚拟化/模拟系统调用会损耗性能),复杂度高。
  • 主流工具:gVisor(Google 开源,沙盒型)、Kata Containers(OCI 兼容,虚拟化型)、Firecracker(AWS 开源,轻量 VM 型)。

三、核心区别总结

维度低级运行时(如 runc)高级运行时(如 Containerd)沙盒/虚拟化运行时(如 Kata)
核心职责底层隔离(Namespace/CGroup)、启动隔离进程镜像管理、网络/存储集成、生命周期编排、API 提供增强安全隔离(沙盒/VM)、运行不可信镜像
OCI 规范支持仅遵循 OCI 运行时规范(rootfs + config.json)遵循 OCI 镜像规范 + 运行时规范兼容 OCI 规范(可替换低级运行时)
依赖技术Linux 内核(Namespace/CGroup)低级运行时 + UnionFS + CNI/CSI轻量 VM(Kata)或系统调用模拟(gVisor)
优点轻量、高性能、灵活功能全、易集成、支持编排工具隔离性极强、安全性高
缺点无镜像/网络/存储能力,需手动准备环境复杂度高、资源消耗略高性能开销大、配置复杂
典型场景作为高级运行时的“执行组件”生产环境对接 K8s/Docker,日常容器管理多租户场景、运行不可信镜像、高安全需求场景
3.Containerd容器运行的配置浅析与知识扩充实践
WeiyiGeek 唯一极客IT知识分享
04-25 2342
公众号关注「WeiyiGeek」设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x00 Containerd 容器运行配置指南如何配置 Containerd 的 systemd 守护进程服务?如何查看 Containerd 相关插件及其存目录?如何生成 Containerd 默认的 config.toml 配置文件?如何配置 Cont...
gVisor 和 KataContainers
cr7258的博客
03-02 857
目前的容器技术仍然有许多广为人知的安全挑战,其中一个主要的问题是,从单一共享内核获得效率和性能意味着容器逃逸可能成为一个漏洞。 所以在 2015 年,几乎在同一个星期,Intel OTC (Open Source Technology Center) 和国内的 HyperHQ 团队同开源了两个基于虚拟化技术的容器实现,分别叫做 Intel Clear Container 和 runV 项目。而在 2017 年,借着 Kubernetes 的东风,这两个相似的容器运行项目在中立基金会的撮合下最终合并,就成
容器化】容器运行
weixin_30414155的博客
09-24 293
容器运行 docker rkt gvisor containerd ============================================================================== Docker? Rkt? Lxd? 细说K8S容器进行的又一选项Containerd 简介:容器运行是执行容器并在节点上管理容器镜像的软件,目前,...
什么是容器运行
开源云中文社区
09-23 948
现在是深入研究容器运行候了,这样你就可以了解容器环境是如何构建的。本文中的信息部分是从Open Container Initiative(OCI)的官方文档中提取的,OCI是容器的开...
容器运行
weixin_39246554的博客
03-07 1222
首先我们要明确一个知识点就是容器本质上就是一个进程,一个特殊的进程,是通过 Namespace 实现资源(网络、文件系统等)隔离,通过 Cgroups 实现资源(CPU、内存)限制,让我们使用起来就感觉像在操作虚拟机一样,但其和虚拟机有本质上的区别,那就是容器和宿主机是共享同一个内核的。为了将我们的应用进程运行容器中,当然就需要有一些方便的接口或者命令去调用 Linux 的系统功能来实现,而容器运行就是用来运行和管理容器进程、镜像的工具。容器运行目录原文链接推荐文章1、容器运行分类2、Docker的
浅析容器运行奥秘——OCI标准
腾讯蓝鲸智云官方博客
03-28 7992
导语 容器技术火起来了以后,Docker的容器镜像和容器运行已然成为行业的标准。此后,为了推进容器生态的健康发展。在Linux基金会的主导下,Docker和各大云厂商Google, Amazon, CloudFoundary, Microsoft积极响应于2016年成立了 “Open Container Initiative”,旨在主导容器的生态发展方向,促进容器生态的健康发展。本文主要介绍容器底层的运行标准OCI的背景和主要内容,最后通过用runC构建容器的示例带你了解容器背后不一样的故事。 背.
在Docker容器中不需要运行sshd的原因浅析
01-10
当开始使用Docker,人们经常问:“我该如何进入容器?”,其他人会说“在你的容器运行一个SSH服务器”。但是,从这篇博文中你将会了解到你根本不需要运行SSHd守护进程来进入你的容器。当然,除非你的容器就是一...
浅析Java的Spring框架中IOC容器容器的应用
09-03
DI是一种设计模式,它允许容器运行将依赖关系注入到对象中,而不是由对象自己创建或查找依赖。这样做的好处在于提高了代码的灵活性、可测试性和可维护性。 BeanFactory容器是Spring中最基础的IoC容器,它实现了...
容器运行详解
最新发布
2301_78537542的博客
03-02 957
容器运行容器技术的核心组件,负责容器的创建、管理和运行。常见的运行包括 Docker Engine、containerd、CRI-O 和 runc。每种运行都有其特点和适用场景,用户可以根据需求选择合适的运行。在 Kubernetes 环境中,推荐使用原生支持 CRI 的运行(如 containerd 或 CRI-O),以获得更好的性能和兼容性。
容器运行 AND Docker
lbdking的博客
11-17 1190
Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroup,namespace,以及 AUFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器。最初实现是基于 LXC,从 0.7 版本以后开始去除 LXC,转而使用自行开发的 libcontainer,从 1.11 开始,则进一步演进为使用 runC 和 containerd。
浅析 k8s 容器运行演进
Dragon的博客
02-09 875
目录 典型的K8S Runtime架构 容器历史小叙 OCI, CRI Containerd和CRI-O 强隔离容器:Kata,gVisor,Firecracker 在docker/k8s代,经常听到CRI, OCI,containerd和各种shim等名词,看完本篇博文,您会有个彻底的理解。 典型的K8S Runtime架构 从最常见的Docker说起,kubelet和Docker的集成方案图如下:当kubelet要创建一个容器,需要以下几步: Kubelet ...
深入理解container--容器运行
jimzbq的博客
01-10 2355
我们都知道,容器技术其实在很久以前就已经出现,但只是在最近十年由于云计算的发展才逐渐进入大众的视野。对于容器运行,传统意义上来说就是代表容器从拉取镜像到启动运行再到中止的整个生命周期,较类似于 Java 中的 Java hotspot 运行。在本文中我会介绍容器运行相关概念及组件原理,梳理下我们常听到的 OCI、runc、containerd 等名词之间的关系。 何为容器运行 容器运行...
Container runtime容器运行
lmix___的博客
02-18 1650
容器运行 运行:一般是用来支持程序运行的实现。例如JVM就是一种运行容器运行:具体到容器运行,就是运行容器所需要的一系列程序。 具体来说,运行容器会遇到以下问题: A container image format A method for building container images (Dockerfile/docker build) A way to manage...
k8s的容器运行(Container Runtime)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-25 2395
容器运行(Container Runtime)是 Kubernetes 集群中负责管理和执行容器的核心组件,它实现了对容器生命周期的控制,包括创建、启动、停止、删除以及资源隔离、网络配置、存储挂载等功能。在Kubernetes环境中,容器运行通过遵循Kubernetes定义的Container Runtime Interface (CRI) 来与kubelet(节点代理)交互,确保容器能够在节点上按照Kubernetes的调度和管理要求运行
[Kubernetes] 容器运行 Container Runtime
959
06-09 1989
容器运行 Container Runtime
一篇文章带你了解容器运行知识点-20211023
weixin_39246554的博客
10-23 1387
目录 文章目录目录1、容器运行1.Docker的发展历程2.CRI2、k8s将弃用docker!3、总结 1、容器运行 1.Docker的发展历程 从 Docker 1.11 版本开始,Docker 容器运行就不是简单通过 Docker Daemon 来启动了,而是通过集成 containerd、runc 等多个组件来完成的。虽然 Docker Daemon 守护进程模块在不停的重构,但是基本功能和定位没有太大的变化,一直都是 CS 架构,守护进程负责和 Docker Client 端交互,并管理 D.
容器运行-名词概念扫盲
z344310362的专栏
11-26 2360
前言 容器技术很早就有了,Docker 是目前最广泛的容器引擎技术, 使用 Linux Cgroup namespace 等技术分隔进程。为了更好的规范容器技术的发展,Docker、CoreOS 和容器行业中的其他领导者在 2015年6月共同发起了 Open Container initiative(OCI) 基金会。OCI 基金会领导社区进行制定了相关规范,主要包括: 镜像规范(image spec) 运行规范(runtime spec) Docker 在容器社区的贡献 在 OCI 基金成立后,Do
Kubernetes容器集群管理详解
`Node`节点则是工作负载的执行者,它们运行在实际的物理或虚拟服务器上,承载着容器容器运行环境。 `Pod`是Kubernetes的基本执行单元,它封装了一个或多个紧密相关的`Container`。Pod提供了容器间的共享网络...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值