在每一个Kubernetes节点中,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。
Kubelet,Cri-O,runc,Linux大致层级示意图如下:
在Kubernetes源码中,可以在pkg/kubelet/cri
目录下找到相关代码,其中remote
目录包含了常见的如镜像拉取,容器创建等操作,streaming
目录中包含了一些需要TCP流的操作,如attach,port-forward等。
构建并使用runc运行一个容器
构建
runc的源码可以下载并通过make命令构建:
git clone https://github.com/opencontainers/runc.git
cd runc
make
runc是一个Go程序,使用CGO调用了一些外部库。构建除了需要安装go之外,可能需要额外安装如pkgconfig, libseccomp-dev, libseccomp等包,视具体错误排查。
如下,是本人安装的步骤:
1、准备一台Linux,此处是centos8
配置阿里yum源,并更新
https://developer.aliyun.com/mirror/
2、安装git
yum install git
3、安装gcc
yum install gcc
4、安装libseccomp
yum install libseccomp
5、安装libseccomp-devel
yum install libseccomp-devel
安装第四步的时候,有可能出现如下错误,这时直接安装第五步的包即可解决。
运行容器
runc并不负责从镜像等上下文直接创建容器,因此需要从docker等更高级的运行时直接导出CRI,会更容易一些。
mkdir /mycontainer
cd /mycontainer
# create the rootfs directory
mkdir rootfs
# export busybox via Docker into the rootfs directory
docker export $(docker create busybox) | tar -C rootfs -xvf -