不讲武德，Kubernetes 弃用 Docker刷爆了网络，我们公司也慌了！(1)

Kubernetes 是一款基础设施工具，可对多种不同计算资源（例如虚拟 / 物理机）进行分组，使其呈现为统一的巨量计算资源，从而供应用程序使用或与其他人共享。在这样的架构中，Docker（或者容器运行时）仅用于通过 Kubernetes 控制平面进行调度，从而在实际主机内运行应用程序。

通过以上架构图，可以看到每个 Kubernetes 节点都与控制平面彼此通信。各个节点上的 kubelet 获取元数据，并执行 CRI 以在该节点上创建 / 删除容器。

需要更多大厂面试资料的话也可以点击直接进入，免费获取！暗号：CSDN

1、但 Docker 为什么会被弃用？

---

如前所述，Kubernetes 只能与 CRI 通信，因此要与 Docker 通信，就必须使用桥接服务。这就是弃用 Docker 的第一点原因。

要解释下一个原因，我们必须稍微聊聊 Docker 架构。首先参考以下示意图。

没错，Kubernetes 实际上需要保持在红框之内。Docker 网络与存储卷都被排除在外。

而这些用不到的功能本身就可能带来安全隐患。事实上，您拥有的功能越少，攻击面也就越小。

因此，我们需要考虑使用替代方案，即 CRI 运行时。

2、CRI 运行时

---

CRI 运行时的实现方案主要有两种。

containerd

如果大家只是想从 Docker 迁移出来，那么 containerd 就是最好的选择。因为它实际上就是在 Docker 之内起效，可以完成所有“运行时”工作，如上图所示。更重要的是，它提供的 CRI 其实 100% 就是由 Docker 所提供。

containerd 还属于全开源软件，因此您可以在 GitHub 上查看说明文档甚至参与项目贡献。

“

https://github.com/containerd/containerd/

”

CRI-O

CRI-O 是主要由 Red Hat 员工开发的 CRI 运行时。它的最大区别在于并不依赖于 Docker，而且目前已经在 Red Hat OpenShift 中得到使用。

有趣的是，RHEL 7 同样不官方支持 Docker。相反，其只为容器环境提供 Podman、Buildah 以及 CRI-O。

“

https://github.com/cri-o/cri-o

”

CRI-O 的优势在于其采用极简风格，或者说它的设计本身就是作为“纯 CRI”运行时存在。不同于作为 Docker 组成部分的 containerd，CRI-O 在本质上属于纯 CRI 运行时、因此不包含除 CRI 之外的任何其他内容。

从 Docker 迁移至 CRI-O 往往更为困难，但无论如何，CRI-O 至少可以支持 Docker 容器在 Kubernetes 上的正常运行。

3、还有一点……

---

当我们谈论容器运行时时，请注意我们到底是在谈论哪种类型的运行时。运行时分为两种：CRI 运行时与 OCI 运行时。

CRI 运行时

正如之前所提到，CRI 是 Kubernetes 提供的 API，用于同容器运行时进行通信以创建 / 删除容器化应用程序。

各容器化应用程序作为 kubelet 通过 IPC 在 gRPC 内通信，而且运行时也运行在同一主机之上；CRI 运行时负责从 kubelet 获取请求并执行 OCI 容器运行时以运行容器。稍微有点复杂，接下来我们会用图表来解释。

因此，CRI 运行时将执行以下操作：

从 kubelet 获取 gRPC 请求。

根据规范创建 OCIjson 配置。

OCI 运行时

OCI 运行时负责使用 Linux 内核系统调用（例如 cgroups 与命名空间）生成容器。您可能听说过 runc 或者 gVisor，这就是了。

附录 1：runC 的工作原理

CRI 会通过 Linux 系统调用以执行二进制文件，而后 runC 生成容器。这表明 runC 依赖于 Linux 计算机上运行的内核。

这也意味着，如果您发现 runC 中的漏洞会使您获得主机 root 权限，那么容器化应用程序同样会造成 root 权限外泄。很明显，恶意黑客会抓住机会入侵主机，引发灾难性的后果。正因为如此，大家才需要不断更新 Docker（或者其他容器运行时），而不仅仅是更新容器化应用程序本身。

附录 2：gVisor 工作原理

gVisor 是最初由谷歌员工创建的 OCI 运行时。它实际上运行在承载各类谷歌云服务（包括 Google Cloud Run、Google App Engine 以及 Google Cloud Functions）的同一套基础设施之上。

有趣的是，gVisor 中包含一个“访客内核”层，意味着容器化应用程序无法直接接触到主机内核层。即使是应用程序“认为”自己接触到了，实际接触到的也只是 gVisor 的访客内核。

gVisor 的安全模式非常有趣，这里建议大家参阅官方说明文档。

“

https://gvisor.dev/docs/

”

gVisor 与 runC 的显著差别如下：

性能更差

Linux 内核层并非 100% 兼容：参见官方文档中的兼容性部分

不受默认支持

“

https://gvisor.dev/docs/user_guide/compatibility/

”

4、总结

---

1) Docker 确被弃用，大家应该开始考虑使用 CRI 运行时，例如 containerd 与 CRI-O。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

总结

总体来说，如果你想转行从事程序员的工作，Java开发一定可以作为你的第一选择。但是不管你选择什么编程语言，提升自己的硬件实力才是拿高薪的唯一手段。

如果你以这份学习路线来学习，你会有一个比较系统化的知识网络，也不至于把知识学习得很零散。我个人是完全不建议刚开始就看《Java编程思想》、《Java核心技术》这些书籍，看完你肯定会放弃学习。建议可以看一些视频来学习，当自己能上手再买这些书看又是非常有收获的事了。

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
始就看《Java编程思想》、《Java核心技术》这些书籍，看完你肯定会放弃学习。建议可以看一些视频来学习，当自己能上手再买这些书看又是非常有收获的事了。

[外链图片转存中…(img-rI6pi7Em-1713500851494)]
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！