容器 runc kata_runC:小型容器引擎

最新推荐文章于 2024-05-26 21:34:50 发布
最新推荐文章于 2024-05-26 21:34:50 发布
阅读量893 收藏
点赞数
文章标签: python java docker linux 编程语言
原文链接:https://opensource.com/life/16/8/runc-little-container-engine-could
版权

容器 runc kata

runC是一种轻量级的通用容器运行时,是一种命令行工具,用于根据开放容器倡议(OCI)规范生成和运行容器。 那是短版。 长版:由Docker,Google,IBM,Microsoft,Red Hat和许多其他合作伙伴创建的用于创建通用和标准化运行时规范的治理伞,具有容器的运行时元素的可读规范文档,以及基于可用的实现Docker贡献给OCI的代码。 它包括libcontainer ,它是最初在Docker引擎中使用的原始下层库接口,用于设置我们称为容器的操作系统构造。

鉴于runC是一个具有常规发布节奏的开源项目,您可以在GitHub上找到代码和相应的发布 。 如果您下载或构建runC二进制文件,您将具有运行时规范元素,即JSON容器配置和根文件系统捆绑包,您可以使用runC作为简单的容器执行器来开始使用它所需的一切。 请注意,如果您安装的是Docker 1.11或更高版本,您还将自动在系统上安装runC的最新副本。 它最有可能被命名为docker-runC并安装在/ usr / bin中 ,并且可以在Docker之外使用,就像正常安装runC一样。

使用runC的好处

甚至在OCI和runC出现之前,许多Docker核心引擎开发人员就使用了runC前体nsinit,它允许简化的入口点来运行和调试低级容器功能,而没有整个Docker守护程序接口的开销。 既然存在runC,这肯定是一个持续的用例,尤其是对于可能暴露新的Linux隔离功能的用户。 例如,首先通过runC提供了使用Linux Checkpoint /在用户空间中还原( CRIU)项目的检查点/还原功能,并且现在正准备将其添加到runC上方的Docker守护程序中。 当然,随着runC / OCI扩展到Linux之外,这对于其他操作系统(OS)隔离原语也将是正确的,例如Solaris区域或基于Microsoft Windows的容器,它们都希望通过OCI运行时规范和runC实施具有功能。 。

除了在操作系统层开发新功能之外,runC是一个有用的调试平台,用于查找难以解决的错误,这些错误很难用容器过程上方的整个Docker堆栈进行调试。

runC入门面临的挑战

开发人员可能已经习惯了使用整个Docker生态系统的容器的低摩擦入口点,包括使用DockerHub(或私有注册表)获取图像,以及简单的docker run命令来启用和禁用其容器的各种功能和配置。 使用runC,开发人员必须从其他系统构造或导出文件系统捆绑包,才能为容器创建自己的起点。 他们还需要将具有与各种docker run标志相关的类似“旋钮”的JSON配置文件放在一起,但是必须将它们直接编码为JSON文件,因为runC二进制文件本身具有简单的start,stop,pause等接口。没有标志。

整体集装箱战略

这如何适合开发人员的整体策略可能取决于开发人员的意图和期望的结果。 对于需要更简单的容器执行模型而不需要更广泛的Docker守护程序功能的开发人员,然后将runC与containerd配对使用,这是Docker 1.11及更高版本引擎中使用的另一个Docker开源项目,可能是一个不错的选择。 在西雅图DockerCon上的演讲结束后,我让几个开发人员来了,并分享了他们基于容器化和runC之一或两者构建的完整容器云架构,它们完成了有趣的工作负载和容器生命周期。 但是,在许多情况下,runC可能是较低层的细节,对于开发人员而言,它可能是普遍关注的,也可能不是。

讨论超出了纯runC的范围,我们还没有讨论的一种使用模型是runC与Docker引擎或其他将来与OCI兼容的引擎的可插入性。 早在OCI社区中有项目,如RUNV,runz,和其他人实施与Solaris区域,或一个轻量级的虚拟机管理程序的共同OCI运行规范(参见英特尔清晰集装箱为例)作为操作系统级隔离技术。 runC或类似runC的实现感兴趣的另一种方式是其他隔离技术或操作系统包含功能的开发人员。

映射容器功能,例如seccomp和用户名称空间

因为libcontainer,即为操作系统执行容器隔离原语的实际工作的操作系统层库,是runC的核心,所以任何OS层功能(例如seccomp和用户名称空间)都必须首先在runC中实现。它们可以暴露于更高层次,例如Docker引擎。 这项额外的功能-尝试尚未在更高层公开的runC新功能-吸引了runC另一个吸引力,而且Docker中公开的一些最新功能早在libcontainer和runC中就已可用进入Docker。 这也意味着在开发这些隔离功能或增强的安全性功能期间,runC是使用JSON配置文件测试和试用唯一配置的好工具。

ContainerCon上的演讲中 ,Phil将演示此用例,并演示如何使用JSON配置文件中的seccomp条目尝试打开/关闭使用某些系统调用的功能,并立即观察对应用程序的影响。 他还将展示使用现有开放源代码工具的工作流,该工作流使用当前Docker容器和映像作为输入来创建可运行runC的配置和根文件系统捆绑包,从而简化开发人员使用runC的启动时间。

翻译自: https://opensource.com/life/16/8/runc-little-container-engine-could

容器 runc kata

cumj63710
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
runC:轻量级容器运行环境
weixin_34342992的博客
10-12 231
本文讲的是runC:轻量级容器运行环境【编者的话】runC是一个开源项目,虽然现在它只是个命令行工具,但它将是一个通用标准化环境,值得一试!runC是一个轻量级通用容器运行环境。目前,它是一个命令行工具,可以根据开放容器方案(Open Container Initiative)生成和运行容器。它的远景是:由Docker、Google、IBM、Micros...
kata-container初探
热门推荐
hdu_hanwei的专栏
09-04 2万+
概览 kata containers是由OpenStack基金会管理,但独立于OpenStack项目之外的容器项目。kata containers整合了Intel的 Clear Containers 和 Hyper.sh 的 runV,能够支持不同平台的硬件 (x86-64,arm等),并符合OCI(Open Container Initiative)规范,同时还可以兼容k8s的 CRI(Cont...
容器启动流程(containerd 和 runc
最新发布
daemon365的博客
05-26 629
因为 第一个 containerd-shim 会在创建完第二个 containerd-shim 后退出,而作为第一个进程子进程的第二个 containerd-shim 会成为孤儿进程,这样就会被 init 进程接管,而和 containerd 本身脱离了关系。为了保证稳定性和独立性。这样 containerd-shim-runc-v2 的父进程就是 init 进程(1),而 init 进程的父进程是 containerd-shim-runc-v2 进程,这样就形成了一个进程树。可以看到我们的结论是正确的。
Kata Containers及相关vmm介绍
whz-emm的博客
12-16 7555
Kata Containers介绍 Kata Containers 是轻量级虚拟机的一种新颖实现,可无缝集成到容器生态系统中。 Kata Containers 与容器一样轻巧快速,并与容器管理层集成,同时还提供 VM 的安全优势。 Kata Containers 是两个现有开源项目的合并:Intel Clear Containers 和 Hyper runV。 新项目结合了两种技术的优点,共同愿景是重组虚拟化以适应容器原生应用程序,以提供容器的速度和 VM 的安全性。...
不止Docker:8款容器管理开源方案
Docker的专栏
06-28 813
Docker诞生于2013年,并普及了容器的概念,以至于大多数人仍然将容器的概念等同于“Docker容器”。作为第一个吃螃蟹的人,Docker设置了新加入者必须遵守的标准。例如,Docke...
katacontainer基础知识】kata-container介绍与原理
zhonglinzhang
01-15 1万+
WHY ? 弥补了传统容器技术安全性的缺点,Kata Containers通过使用硬件虚拟化来达到容器隔离的目的。每一个container/pod 都是基于一个独立的kernel实例来作为一个轻量级的虚拟机。自从每一个container/pod运行与独立的虚拟机上,他们不再从宿主机内核上获取相应所有的权限。 WHAT ? kata container...
cri-o:基于开放容器倡议的Kubernetes容器运行时接口的实现
02-02
CRI-O-Kubernetes容器运行时接口的基于OCI的实现 兼容性矩阵:CRI-O⬄Kubernetes CRI-O和Kubernetes遵循相同的发布周期和弃用策略。 有关更多信息,请访问。 版本-分支 Kubernetes分支/版本 维护状态 CRI-O HEAD-...
Kata Containers容器平台技术最新概述.pdf
10-11
自Kubernetes v1.14版本起,Kata Containers作为RuntimeClass资源的一部分,允许在同一集群或节点上运行runcKata容器。用户可以通过在Pod规范中设置`runtimeClassName`来选择使用Kata Containers。这使得...
iSulad是一个轻量级的容器运行时守护进程,专为物联网和云基础设施而设计
05-28
iSulad是一个轻量级的容器运行时守护进程,专为物联网和云基础设施而设计。iSulad是一个由C/C++编写实现的轻量级容器引擎,具有轻、灵、巧、快的特点,不受硬件...iSulad支持多种容器runtime,包括lxc、runckata
信创操作系统运行容器环境分析.docx
04-28
容器技术栈包括容器编排调度工具(Kubernetes、Rancher、K3S、Mesos等)、容器运行时(runckata containers、containerd等)以及容器镜像服务(Harbor等)。这些组件构成了容器化应用部署的基础。 #### 三、容器编排...
RomanNumeralsKata:Java中的经典罗马数字Kata
05-12
Java中的经典罗马数字Kata 要将其作为本地Web应用程序在JDK 1.8下的端口8080上运行: mvn clean package tomcat7:run 罗马人用字母写数字。 特别是字母“ I”表示“ 1”,“ V”表示“ 5”,“ X”表示“ 10”,...
关于Kata Container,用户最关心这三个问题
开源云中文社区
05-03 1773
导读Kata Containers是一个新的开源项目,由Apache 2.0授权,由OpenStack Foundation管理,将容器的速度与虚拟机的安全性相结合。Ka...
学习容器你不能错过核心技术runC和Libcontainer
03-14 2781
Libcontainer是一个开源的Linux容器管理库,它是由Docker团队开发的,用于支持Docker容器引擎的底层。Libcontainer提供了一个接口,使得应用程序可以直接访问Linux内核中的容器相关功能,例如命名空间、控制组、文件系统等。而命名空间(通过Linux Namespace)、控制组(Cgroups)、文件系统(rootfs)正是实现容器的核心。
runC源码分析——Create/Run Container
WaltonWang's Blog
12-25 1万+
本文是对runC源码的核心部分——Create Command & Run Command 进行源码分析。
Katacontainers 与 Docker 和 Kubernetes 的集成
mark's technic world
02-21 2075
Katacontainer 是 OpenStack 基金会于 2017 KubeCon 峰会上正式发布,在2018年5月份 OpenStack 温哥华峰会上对外发布1.0版本,并且在那届峰会上还有好几个关于 katacontainer 的演讲。我对 KataContainers 的具体实现原理不清楚,只知道它是一个轻量虚拟机实现,可以无缝地与容器生态系统(实现 OCI 接口)进行集成。 ka...
Kata Containers 安装及试用Docker runtimeClass
weixin_40455124的博客
03-28 1433
Kata Containers 安装比较简单,但kata 依赖kvm,因此要先安装kvm 并且打开bios 或者vmware的虚拟设置 然后安装kvm 并且执行 morbepe kvm-intel 然后按照 https://github.com/kata-containers/documentation/blob/master/install/centos-installation-guide...
容器技术重磅解密!执行引擎真相大揭秘!
极客重生
05-17 563
当前计算机工程方向已经进入云原生时代,容器容器编排(K8s)成为计算机工程方向热门技术,之前文章“容器技术之发展简史"梳理了容器和云原生的关系,我们得出容器技术恒等式:我们今天先聊执行引擎,后续将有一篇关于容器镜像的专题文章具体聊镜像格式和镜像加速。从集装箱革命说起容器技术需要解决的核心问题之一运行时的环境隔离。有一本非常有名的书,叫《集装箱改变世界》,说的是看起来平淡无奇的铁箱子,如何从二十世...
kata-container
qq_38129681的博客
08-10 316
Kata Container是一个开放源代码的容器,运行时可以构建无缝插入容器生态系统的轻量级虚拟机,致力于通过轻量级虚拟机机来构建安全的容器,这些虚拟机的运行方式和性能类似于容器,但是使用硬件虚拟化救赎作为第二程防御层,可以提供更强的工作负载隔离​ Kata Container 社区由 OpenStack Foundation(OSF) 领导,该基金会支持全球开放基础架构的开发和采用kata-container 和 runc是平级的。
Docker背后的标准化容器执行引擎——runC
HarmonyCloud_的博客
07-26 924
runC就是Docker贡献出来的,按照该开放容器格式标准(OCF,OpenContainerFormat)制定的一种具体实现。在接下来的容器系列文章中,将从架构和源码层面详细解读这个开源项目的设计思想和实现原理,敬请关注。...
isulad容器引擎不支持kata安全容器
09-11
### 回答1: 事实上,isulad容器引擎是支持kata安全容器的。isulad是一个开源的轻量级容器运行时,它可以与不同的容器技术进行集成,包括katakata是一个基于虚拟化技术的安全容器,它可以提供更高的安全性和隔离性。isulad集成了kata,可以使用kata安全容器来运行容器。这样可以在保持轻量级的同时,提供更高的安全性。 ### 回答2: isulad容器引擎是一款在中国开发的轻量级容器引擎,主要用于在Linux操作系统上运行容器。它的设计目标是为了提供高性能、高可靠性和高扩展性的容器运行环境。然而,目前isulad容器引擎并不支持kata安全容器kata安全容器是一种基于虚拟化技术的安全容器方案。它通过在每个容器实例内部运行一个轻量级虚拟机来提供隔离和安全性。kata容器与传统容器相比,能够提供更高的安全性和隔离性,保护容器内部的数据和环境免受攻击和恶意代码的侵害。 尽管kata容器在安全性方面具有很大优势,但由于技术实现上的差异,isulad容器引擎并不支持它。这意味着在使用isulad容器引擎时,无法直接使用kata容器提供的安全特性。 如果用户需要使用kata安全容器,可以考虑使用其他容器引擎,例如Docker或者Kubernetes,它们都提供了对kata容器的支持。通过使用这些容器引擎,用户可以轻松地创建、部署和管理kata容器,同时享受到kata容器提供的额外安全性和隔离性。 ### 回答3: isulad容器引擎目前不支持kata安全容器。isulad是华为公司开源的一款容器运行时引擎,它主要用于在Linux操作系统上创建和管理容器实例。isulad注重轻量性和高性能,提供了一系列功能丰富的容器管理工具和API,以满足用户对容器化应用的需求。 但是,isulad并不支持kata安全容器kata是一个针对安全性和性能进行优化的容器运行时,它采用虚拟化技术,通过在宿主机上创建虚拟机来运行容器,提供了更高的隔离性和安全性。 尽管kata安全容器具有许多优点,但是isulad目前还没有整合kata运行时的能力。这可能是因为isulad的设计目标和使用场景与kata不完全一致,或者是因为isulad的开发者团队还没有将kata集成到isulad中。因此,如果用户有需要在isulad中使用kata安全容器的需求,可能需要考虑其他容器引擎或解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值