Kubernetes RuntimeClass 与 CRI 的分析

已于 2025-05-13 18:45:23 修改
阅读量1k 收藏 18
点赞数 26
文章标签: kubernetes 容器 云原生
于 2025-05-13 18:42:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_33352210/article/details/147931323
版权

蚂蚁密算开发的 kuscia 是一款基于 k3s 的调度系统。在使用过程中发现其无法指定不同的容器运行时。初步分析,kuscia 的 server 节点使用的是开源 k3s 二进制,agent 节点使用的是蚂蚁修改过的 kubelet 实现,一起放在 kuscia 中打包的。怀疑蚂蚁修改的 kubelet 不支持识别 runtimeClass 导致该问题。

首先通过大模型生成通过 cri 接口调用 containerd 的样例代码:

package main

import (
	"context"
	"fmt"
	"log"
	"time"

	"google.golang.org/grpc"
	runtimeapi "k8s.io/cri-api/pkg/apis/runtime/v1"
)

func main() {
	// 创建 gRPC 客户端连接
	conn, err := grpc.Dial("unix:///run/containerd/containerd.sock", grpc.WithInsecure())
	if err != nil {
		log.Fatalf("Failed to connect to containerd socket: %v", err)
	}
	defer conn.Close()

	// 创建 CRI RuntimeService 客户端
	runtimeClient := runtimeapi.NewRuntimeServiceClient(conn)

	// 创建 Pod Sandbox
	podConfig := &runtimeapi.PodSandboxConfig{
		Metadata: &runtimeapi.PodSandboxMetadata{
			Name:      "example-pod",
			Namespace: "default",
			Uid:       "unique-id",
			Attempt:   1,
		},
		LogDirectory: "/var/log/pods",
	}
	req := &runtimeapi.RunPodSandboxRequest{
		Config: podConfig,
		RuntimeHandler: "",
	}

	ctx, cancel := context.WithTimeout(context.Background(), 10*time.Second)
	defer cancel()

	resp, err := runtimeClient.RunPodSandbox(ctx, req)
	if err != nil {
		log.Fatalf("Failed to create Pod Sandbox: %v", err)
	}
	podID := resp.PodSandboxId
	fmt.Printf("Pod Sandbox created with ID: %s\n", podID)

	// 创建容器
	containerConfig := &runtimeapi.ContainerConfig{
		Metadata: &runtimeapi.ContainerMetadata{
			Name: "example-container",
		},
		Image: &runtimeapi.ImageSpec{
			Image: "nginx:latest",
		},
		Command:   []string{"nginx", "-g", "daemon off;"},
		LogPath:   "nginx.log",
		Resources: &runtimeapi.LinuxContainerResources{},
	}
	createContainerReq := &runtimeapi.CreateContainerRequest{
		PodSandboxId:  podID,
		Config:        containerConfig,
		SandboxConfig: podConfig,
	}
	containerResp, err := runtimeClient.CreateContainer(ctx, createContainerReq)
	if err != nil {
		log.Fatalf("Failed to create container: %v", err)
	}
	containerID := containerResp.ContainerId
	fmt.Printf("Container created with ID: %s\n", containerID)

	// 启动容器
	startReq := &runtimeapi.StartContainerRequest{ContainerId: containerID}
	_, err = runtimeClient.StartContainer(ctx, startReq)
	if err != nil {
		log.Fatalf("Failed to start container: %v", err)
	}
	fmt.Println("Container started successfully")
}

可以发现创建容器时与 containerd 的主要通过三个接口通信: RunPodSandbox(), CreateContainer(), StartContainer()。这三个接口均在 cri-api 中定义。

查看 kubelet 相关函数的实现,发现其在 createPodSandbox() 函数中,将容器运行时 runtimeHandler 通过 CRI 接口传递给 containerd。完整调用链如下:
main.main()
app.NewKubeletCommand()
app.Run()
app.run()
app.RunKubelet()
app.startKubelet()
kubelet.Kubelet.Run()
kubelet.Kubelet.syncLoop()
kubelet.Kubelet.syncLoopIteration()
kubelet.Kubelet.HandlePodUpdates()
kubelet.podWorkers.UpdatePod()
kubelet.podWorkers.podWorkerLoop()
kubelet.podSyncerFuncs.SyncPod()
kubelet.Kubelet.SyncPod()
kuberuntime.kubeGenericRuntimeManager.SyncPod()
kuberuntime.kubeGenericRuntimeManager.createPodSandbox()
cri.PodSandboxManager.RunPodSandbox()
kubeGenericRuntimeManager.startContainer()
cri.ContainerManager.CreateContainer()
cri.ContainerManager.StartContainer()

RunPodSandbox 只是 package k8s.io/cri-api/pkg/apis 定义的一个接口函数,究竟是哪个结构体实现的呢?答案是 k8s.io/cri-client,它用来实现 cri-api。

  1. kubelet 首先调用 k8s.io/cri-client/pkgNewRemoteRuntimeService() 初始化 CRI 客户端。
  2. 再调用 k8s.io/kubernetes/pkg/kubelet/kuberuntimeNewKubeGenericRuntimeManager() 将客户端参数 kubeDeps 传递给 kubeGenericRuntimeManager 结构体。

完整调用链如下:
main.main()
app.NewKubeletCommand()
app.Run()
app.run()
kubelet.PreInitRuntimeService(kubeDeps)
cri.NewRemoteRuntimeService(kubeDeps)
app.RunKubelet(kubeDeps)
app.createAndInitKubelet(kubeDeps)
kubelet.NewMainKubelet(kubeDeps)
kuberuntime.NewKubeGenericRuntimeManager(kubeDeps)

再回到 kuscia 代码,它完全未处理 runtimeHandler 变量,导致其无法指定不同的容器运行时。一开始想直接移植 kubelet 对 runtimeHandler 变量处理,发现其还依赖 runtimeClassManager,所以移植还有些麻烦。

再分析 kusica 绑定 cri-client 的过程,其完整调用链如下:
main.main()
start.Start()
start.kusciaModuleManager.Start()
start.kusciaModuleManager.runModule()
modules.Run()
commands.RunRootCommand()
provider.containerRuntimeFactory.BuildPodProvider()
pod.NewCRIProvider()
remoteRuntimeService = remote.NewRemoteRuntimeService()
kuberuntime.NewManager(remoteRuntimeService)

NewCRIProvider() 函数中,发现其还自己实现了一套进程 cri 接口,也就是后端不依赖 containerd,而是完全自己实现整套类似 runc 的功能。

yewq-cn
关注
kubernetesCRI详解
专注于输出大概有用的软硬件技术!
06-25 1348
如何更好的用好Kubernetes CRI?本文尝试从CRI原理及作用、CRI执行流程、常见CRI及其优缺点、最佳实践及历史演进等方面进行阐述。希望对您有所帮助!
运维锅总详解kubernetesCRI
专注于输出大概有用的软硬件技术!
07-22 1046
如何更好的用好Kubernetes CRI?本文尝试从CRI原理及作用、CRI执行流程、常见CRI及其优缺点、最佳实践及历史演进等方面进行阐述。希望对您有所帮助!一、Kubernetes CRI 原理及作用CRI(Container Runtime Interface,容器运行时接口) 是 Kubernetes 提供的一种标准接口,用于不同的容器运行时集成。它通过定义一组标准化的 API,使得 ...
kubernetes/k8s CRI分析-kubelet创建pod分析
良凯尔的博客
08-08 624
kubernetes CRI分析-k8s CRI分析。kubelet创建pod分析。kubelet调用CRI创建pod分析kubernetes中有3个功能接口,分别是容器网络接口CNI、容器运行时接口CRI容器存储接口CSI。本文会对kubelet调用CRI创建pod分析
KubernetesRuntimeClass 介绍
zyy247796143的博客
01-16 474
这样做的好处是:实现了运行时和 Kubernetes 的解耦,社区不必再为各种运行时做适配工作,也不用担心运行时和 Kubernetes 迭代周期不一致所带来的版本维护问题。例如,如果你的部分工作负载需要高级别的信息安全保证,你可以决定在调度这些 Pod 时尽量使它们在使用硬件虚拟化的容器运行时中运行。随着越来越多的容器运行时的出现,不同的容器运行时也有不同的需求场景,于是就有了多容器运行时的需求。RuntimeClass是一个让Pod选择容器运行时的一个特性,用于多运行时环境。
kubernetes/k8s CRI分析-容器运行时接口分析
良凯尔的博客
08-01 1466
kubernetes CRI分析-k8s CRI分析kubernetes中有3个功能接口,分别是容器网络接口CNI、容器运行时接口CRI容器存储接口CSI。本文会对CRI是什么、为什么要有CRICRI系统架构做介绍,对CRI所涉及的k8s对象组件进行介绍,以及k8s对CRI进行相关操作分析
Kubernetes CRI 分析 - kubelet 创建 Pod 分析
Qingcloudedu的博客
10-19 322
kubelet CRI 创建 Pod 调用流程 本文以 kubelet dockershim 创建 Pod 调用流程为例做分析。 kubelet 通过调用 dockershim 来创建并启动容器,而 dockershim 则调用 Docker 来创建并启动容器,并调用 CNI 来构建 Pod 网络。 kubelet dockershim 创建 Pod 调用流程图 dockershim 属于 kubelet 内置 CRI shim,其余的 remote CRI shim 创建 Pod 调用流程其实 doc
kubernetes CRI 解析-容器运行时接口分析
云原生实验室
08-13 1661
概述kubernetes的设计初衷是支持可插拔架构,从而利于扩展kubernetes的功能。在此架构思想下,kubernetes提供了3个特定功能的接口,分别是容器网络接口CNI、容器运行...
Kubernetes + CRI + Kata + Firecracker
weixin_34106122的博客
03-03 911
Kata Kata源自希腊文Καταπίστευμα(ka-ta-PI-stev-ma),原意是值得信任的人,kata container正是解容器安全的问题而诞生的。传统的容器是基于namespace和cgroup进行隔离,在带来轻量简洁的同时,也带来了安全的隐患。事实上容器虽然提供一个系统中的其它进程资源相隔离的执行环境,但是宿主机系统是共享内核...
24. RuntimeClass容器运行时
变成习惯
01-28 352
本文由 CNCF + Alibaba 云原生技术公开课 整理而来 RuntimeClass 需求 容器运行时的演进过程: 此同时,越来越多的容器运行时也想接入到 Kubernetes 中。如果还是按 rkt 和 Docker 一样内置支持的话,会给 Kubernetes 的代码维护和质量保障带来严重挑战。 社区也意识到了这一点,所以在 1.5 版本时推出了 CRI,它的全称是 Container Runtime Interface。这样做的好处是:实现了运行时和 Kubernetes 的解耦,社.
K8s 图形界面管理kubesphere
u013454416的博客
05-13 884
KubeSphere是一个基于Kubernetes的开源容器平台,旨在简化企业级Kubernetes集群的部署、管理和运维。它提供了多租户管理、DevOps流水线、应用商店、监控日志、服务网格、网络策略等核心功能,帮助企业快速构建和运维云原生应用。KubeSphere的架构设计模块化且可扩展,支持多种安装方式,包括All-in-One、多节点和KubeKey安装。使用指南涵盖了从登录控制台到创建企业空间、项目、部署应用、配置DevOps流水线、监控日志等操作。此外,KubeSphere还支持多集群管理、
Docker、ECS K8s 网段冲突:解决跨服务通信中的路由问题
weixin_43100952的博客
05-11 1018
使用自定义网络子网,以确保不会其他云服务、容器或集群的 IP 范围发生冲突。Docker 默认网段 K8s Pod 网段冲突会导致容器间通信失败。通过和route -n等命令可以查看和排查网络配置。解决网段冲突的关键是:修改 Docker 默认网段,创建自定义网络,并调整容器的网络设置。通过 docker-compose.yml文件中的自定义网络配置,灵活调整容器的 IP 地址和网段,避免冲突。希望这篇文章能够帮助你理解并解决 Docker K8s 跨 VPC 服务之间的网络冲突。
在K8S集群中部署EFK日志收集
小五
05-14 678
本文介绍了在CentOS 7.9系统上,使用Kubernetes(K8S)v1.26.14版本部署Elasticsearch(ES)7.17.3的过程。首先,环境准备包括配置Ceph或NFS存储,并增加RBAC权限和日志模板。接着,通过ECK方式安装自定义资源并部署Elasticsearch,配置了Master节点和Data节点的角色及资源需求。生产环境中建议优化Master节点配置,分离Data节点角色以提高性能。最后,通过测试验证ES的正常运行,并提供了Fluentd的DaemonSet配置文件示例,用
Rocky Linux 9.5 基于kubeadm部署k8s
wjy6_的博客
05-14 178
【代码】Rocky Linux 9.5 基于kubeadm部署k8s。
ubuntu20.04系统搭建k8s1.28集群-docker作为容器运行时
最新发布
2401_84008551的博客
05-14 622
ls -l /run/cri-dockerd.sock #在run目录下的unix:///run/cri-dockerd.sock。mkdir -p /data/docker #这个目录最好是单独的分区,且容量大,可做rsync远程同步存储到nfs。ubuntu-22.04.5-desktop-amd64.iso映像文件--->实际却是20.4focal版本。#如果/etc/apt/source.list文件中已有,就不要再配置docker源了。passwd root 给root设置密码。
k8s初始化时候,报错无法通过 CRI容器运行时接口) containerd 通信
qq_36967200的博客
05-13 564
首先确定containerd 配置正确启用了 CRI 插件,sudo cat /etc/containerd/config.toml | grep -A 5 “[plugins.“io.containerd.grpc.v1.cri”]”这说明 kubeadm 无法通过 CRI容器运行时接口) containerd 通信,因为缺少了正确的服务实现,通常这是由于 containerd 的配置不兼容或者 containerd 安装得不完整。再次初始化集群就可以了。
黑马k8s(四)
dengfengling999的博客
05-12 325
本章节主要介绍yaml语法和kubernetes的资源管理方式dev下删除了pod,之后发现还有pod,把原来的pod删除了,重新启动了一个。
k8s的节点是否能直接 curl Service 名称
干就完了!!!
05-11 641
若需让节点直接通过 Service 名称访问服务,需。,使其指向集群的 DNS 服务(如 CoreDNS)。如果不想配置 DNS,可以直接通过。DNS 解析成功后,节点可通过。在 Kubernetes 中,
k8s中ingress-nginx介绍
筱long的博客
05-11 880
Ingress是一种Kubernetes资源,用于将外部流量路由到Kubernetes集群内的服务。NodePort相比,它提供了更高级别的路由功能和负载平衡,可以根据HTTP请求的路径、主机名、HTTP方法等来路由流量。可以说Ingress是为了弥补NodePort在流量路由方面的不足而生的。使用NodePort,只能将流量路由到一个具体的Service,并且必须使用Service的端口号来访问该服务。
k8s 资源对比总结
干就完了!!!
05-11 1142
【代码】k8s 资源对比总结。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值