容器 runc kata_runC:小型容器引擎

最新推荐文章于 2023-05-17 12:22:45 发布
最新推荐文章于 2023-05-17 12:22:45 发布
阅读量899 收藏
点赞数
文章标签: python java docker linux 编程语言
原文链接:https://opensource.com/life/16/8/runc-little-container-engine-could
版权

容器 runc kata

runC是一种轻量级的通用容器运行时,是一种命令行工具,用于根据开放容器倡议(OCI)规范生成和运行容器。 那是短版。 长版:由Docker,Google,IBM,Microsoft,Red Hat和许多其他合作伙伴创建的用于创建通用和标准化运行时规范的治理伞,具有容器的运行时元素的可读规范文档,以及基于可用的实现Docker贡献给OCI的代码。 它包括libcontainer ,它是最初在Docker引擎中使用的原始下层库接口,用于设置我们称为容器的操作系统构造。

鉴于runC是一个具有常规发布节奏的开源项目,您可以在GitHub上找到代码和相应的发布 。 如果您下载或构建runC二进制文件,您将具有运行时规范元素,即JSON容器配置和根文件系统捆绑包,您可以使用runC作为简单的容器执行器来开始使用它所需的一切。 请注意,如果您安装的是Docker 1.11或更高版本,您还将自动在系统上安装runC的最新副本。 它最有可能被命名为docker-runC并安装在/ usr / bin中 ,并且可以在Docker之外使用,就像正常安装runC一样。

使用runC的好处

甚至在OCI和runC出现之前,许多Docker核心引擎开发人员就使用了runC前体nsinit,它允许简化的入口点来运行和调试低级容器功能,而没有整个Docker守护程序接口的开销。 既然存在runC,这肯定是一个持续的用例,尤其是对于可能暴露新的Linux隔离功能的用户。 例如,首先通过runC提供了使用Linux Checkpoint /在用户空间中还原( CRIU)项目的检查点/还原功能,并且现在正准备将其添加到runC上方的Docker守护程序中。 当然,随着runC / OCI扩展到Linux之外,这对于其他操作系统(OS)隔离原语也将是正确的,例如Solaris区域或基于Microsoft Windows的容器,它们都希望通过OCI运行时规范和runC实施具有功能。 。

除了在操作系统层开发新功能之外,runC是一个有用的调试平台,用于查找难以解决的错误,这些错误很难用容器过程上方的整个Docker堆栈进行调试。

runC入门面临的挑战

开发人员可能已经习惯了使用整个Docker生态系统的容器的低摩擦入口点,包括使用DockerHub(或私有注册表)获取图像,以及简单的docker run命令来启用和禁用其容器的各种功能和配置。 使用runC,开发人员必须从其他系统构造或导出文件系统捆绑包,才能为容器创建自己的起点。 他们还需要将具有与各种docker run标志相关的类似“旋钮”的JSON配置文件放在一起,但是必须将它们直接编码为JSON文件,因为runC二进制文件本身具有简单的start,stop,pause等接口。没有标志。

整体集装箱战略

这如何适合开发人员的整体策略可能取决于开发人员的意图和期望的结果。 对于需要更简单的容器执行模型而不需要更广泛的Docker守护程序功能的开发人员,然后将runC与containerd配对使用,这是Docker 1.11及更高版本引擎中使用的另一个Docker开源项目,可能是一个不错的选择。 在西雅图DockerCon上的演讲结束后,我让几个开发人员来了,并分享了他们基于容器化和runC之一或两者构建的完整容器云架构,它们完成了有趣的工作负载和容器生命周期。 但是,在许多情况下,runC可能是较低层的细节,对于开发人员而言,它可能是普遍关注的,也可能不是。

讨论超出了纯runC的范围,我们还没有讨论的一种使用模型是runC与Docker引擎或其他将来与OCI兼容的引擎的可插入性。 早在OCI社区中有项目,如RUNV,runz,和其他人实施与Solaris区域,或一个轻量级的虚拟机管理程序的共同OCI运行规范(参见英特尔清晰集装箱为例)作为操作系统级隔离技术。 runC或类似runC的实现感兴趣的另一种方式是其他隔离技术或操作系统包含功能的开发人员。

映射容器功能,例如seccomp和用户名称空间

因为libcontainer,即为操作系统执行容器隔离原语的实际工作的操作系统层库,是runC的核心,所以任何OS层功能(例如seccomp和用户名称空间)都必须首先在runC中实现。它们可以暴露于更高层次,例如Docker引擎。 这项额外的功能-尝试尚未在更高层公开的runC新功能-吸引了runC另一个吸引力,而且Docker中公开的一些最新功能早在libcontainer和runC中就已可用进入Docker。 这也意味着在开发这些隔离功能或增强的安全性功能期间,runC是使用JSON配置文件测试和试用唯一配置的好工具。

ContainerCon上的演讲中 ,Phil将演示此用例,并演示如何使用JSON配置文件中的seccomp条目尝试打开/关闭使用某些系统调用的功能,并立即观察对应用程序的影响。 他还将展示使用现有开放源代码工具的工作流,该工作流使用当前Docker容器和映像作为输入来创建可运行runC的配置和根文件系统捆绑包,从而简化开发人员使用runC的启动时间。

翻译自: https://opensource.com/life/16/8/runc-little-container-engine-could

容器 runc kata

cumj63710
关注
【云原生进阶之容器】第五章容器运行时5.3.1--runC简介与使用
junbaozi的专栏
04-01 730
随着容器技术发展的愈发火热,Linux基金会于2015年6月成立OCI(Open Container Initiative)组织,旨在围绕容器格式和运行时制定一个开放的工业化标准。该组织一成立便得到了包括谷歌、微软、亚马逊、华为等一系列云计算厂商的支持。而runC就是Docker贡献出来的,按照该开放容器格式标准(OCF, Open Container Format)制定的一种具体实现。
【云原生进阶之容器】第五章容器运行时5.3.2--runC原理解读
junbaozi的专栏
04-02 402
runC可以启动并管理符合OCI标准的容器。简单地说,runC需要利用OCI bundle创建一个独立的运行环境,并执行指定的程序。在Linux平台上,这个环境就是指各种类型的Namespace以及Capability等等配置。runC由Go语言实现,当前(2018.12)最新版本是v1.0.0-rc6,代码的结构可分为两大块,一是根目录下的go文件,对应各个runC命令,二是负责创建/启动/管理容器的libcontainer,可以说runC的本质都在libcontainer。
runC:轻量级容器运行环境
weixin_34342992的博客
10-12 238
本文讲的是runC:轻量级容器运行环境【编者的话】runC是一个开源项目,虽然现在它只是个命令行工具,但它将是一个通用标准化环境,值得一试!runC是一个轻量级通用容器运行环境。目前,它是一个命令行工具,可以根据开放容器方案(Open Container Initiative)生成和运行容器。它的远景是:由Docker、Google、IBM、Micros...
kata-container初探
热门推荐
hdu_hanwei的专栏
09-04 2万+
概览 kata containers是由OpenStack基金会管理,但独立于OpenStack项目之外的容器项目。kata containers整合了Intel的 Clear Containers 和 Hyper.sh 的 runV,能够支持不同平台的硬件 (x86-64,arm等),并符合OCI(Open Container Initiative)规范,同时还可以兼容k8s的 CRI(Cont...
Kata Containers及相关vmm介绍
whz-emm的博客
12-16 7603
Kata Containers介绍 Kata Containers 是轻量级虚拟机的一种新颖实现,可无缝集成到容器生态系统中。 Kata Containers 与容器一样轻巧快速,并与容器管理层集成,同时还提供 VM 的安全优势。 Kata Containers 是两个现有开源项目的合并:Intel Clear Containers 和 Hyper runV。 新项目结合了两种技术的优点,共同愿景是重组虚拟化以适应容器原生应用程序,以提供容器的速度和 VM 的安全性。...
不止Docker:8款容器管理开源方案
Docker的专栏
06-28 825
Docker诞生于2013年,并普及了容器的概念,以至于大多数人仍然将容器的概念等同于“Docker容器”。作为第一个吃螃蟹的人,Docker设置了新加入者必须遵守的标准。例如,Docke...
katacontainer基础知识】kata-container介绍与原理
zhonglinzhang
01-15 1万+
WHY ? 弥补了传统容器技术安全性的缺点,Kata Containers通过使用硬件虚拟化来达到容器隔离的目的。每一个container/pod 都是基于一个独立的kernel实例来作为一个轻量级的虚拟机。自从每一个container/pod运行与独立的虚拟机上,他们不再从宿主机内核上获取相应所有的权限。 WHAT ? kata container...
【云原生进阶之容器】第五章容器运行时5.5--容器运行时之Kata Containers
junbaozi的专栏
04-04 612
Kata Containers是一个新的开源项目,它提供了与虚拟机工作负载隔离的Linux容器的速度和性能。它被设计为与OCI镜像兼容的体系结构,并与Kubernetes的容器运行时接口(CRI)兼容。Kata Containers托管在Apache 2许可下的Github上,并由OpenStack基金会管理。Kata Container项目是两个现有的开源项目合并——Intel Clear Containers和Hyper runV。
李福攀:Kata安全容器在蚂蚁集团的应用实践
m0_46700908的博客
06-29 2038
2022年6月7日,在CSDN云原生系列在线峰会第7期“安全技术峰会”上,蚂蚁集团高级技术专家李福攀分享了Kata安全容器及其在蚂蚁集团的落地实践。
【云原生进阶之容器】第五章容器运行时5.1节--容器运行时总述
junbaozi的专栏
01-16 1108
容器运行时接口(CRI),顾名思义,用来在 Kubernetes 扩展容器运行时,从而用户可以选择自己喜欢的容器引擎。CRI 是基于 gPRC 的,用户不需要关心内部通信逻辑,而只需要实现定义的接口就可以,包括RuntimeService和ImageService: RuntimeService负责管理Pod和容器的生命周期,而ImageService负责镜像的生命周期管理。CRI 的推出为容器社区带来了新的繁荣,cri-o、frakti、cri-containerd 等一系列容器运行时为不同场景而生。
关于Kata Container,用户最关心这三个问题
开源云中文社区
05-03 1783
导读Kata Containers是一个新的开源项目,由Apache 2.0授权,由OpenStack Foundation管理,将容器的速度与虚拟机的安全性相结合。Ka...
runC源码分析——Create/Run Container
WaltonWang's Blog
12-25 1万+
本文是对runC源码的核心部分——Create Command & Run Command 进行源码分析。
Katacontainers 与 Docker 和 Kubernetes 的集成
mark's technic world
02-21 2108
Katacontainer 是 OpenStack 基金会于 2017 KubeCon 峰会上正式发布,在2018年5月份 OpenStack 温哥华峰会上对外发布1.0版本,并且在那届峰会上还有好几个关于 katacontainer 的演讲。我对 KataContainers 的具体实现原理不清楚,只知道它是一个轻量虚拟机实现,可以无缝地与容器生态系统(实现 OCI 接口)进行集成。 ka...
Kata Containers 安装及试用Docker runtimeClass
weixin_40455124的博客
03-28 1453
Kata Containers 安装比较简单,但kata 依赖kvm,因此要先安装kvm 并且打开bios 或者vmware的虚拟设置 然后安装kvm 并且执行 morbepe kvm-intel 然后按照 https://github.com/kata-containers/documentation/blob/master/install/centos-installation-guide...
容器技术重磅解密!执行引擎真相大揭秘!
最新发布
极客重生
05-17 615
当前计算机工程方向已经进入云原生时代,容器容器编排(K8s)成为计算机工程方向热门技术,之前文章“容器技术之发展简史"梳理了容器和云原生的关系,我们得出容器技术恒等式:我们今天先聊执行引擎,后续将有一篇关于容器镜像的专题文章具体聊镜像格式和镜像加速。从集装箱革命说起容器技术需要解决的核心问题之一运行时的环境隔离。有一本非常有名的书,叫《集装箱改变世界》,说的是看起来平淡无奇的铁箱子,如何从二十世...
云原生时代(一)云原生及CNCF基金会
蒋宇捷的专栏
06-18 6018
今天我们不讲行业和商业,讲讲2019年最热的概念-云原生(Cloud Native)。 我认为云原生是未来10年IT发展最重要的趋势,但是它涵盖的概念非常多,需要花很多时间研究,同时浩如烟海的资料分散在网络上各个地方,缺乏系统性的梳理。今年2月我在基金内部做过一个分享,今日成文,希望让更多的人有所了解。 本文试图解答: •为什么云原生概念具有革命性? •什么是微服务? •微服务和中台的关系 •容器和微服务为什么是最佳搭档? •容器化与虚拟化的区别 •API管理与API集成的区别 ...
docker RunC Create 源码简单分析
Daniel_greenspan的博客
12-07 2628
docker RunC Create 源码简单分析 承接上一篇“docker containerd 架构和源码简单分析”本文继续沿着docker run/create的流程简单分析一下docker RunC的源码。 本文依然结合docker1.12的框架对docker 框架中最底层的runc做简单的流程分析。 本文分析
开源项目的 5 年长跑,runc v1.0 终于正式发布!
k8s 生态
06-23 284
“本文我来分享下与我们(搞容器化/K8S 从业者)息息相关的一个基础项目 runc[1] 是如何自 2016 年发布了 v1.0.0-rc1 到现在历经 5 年长跑,从 rc1 一直到 r...
runC nsexec.c 解析
liuliuzi_hz的博客
12-04 1168
一直以为runc中也用clone 函数加参数形式实现进程命名空间隔离,但是细读runc中命名空间隔离的实现文件nsexec.c 发现并没有简单实用clone实现。  而因为selinux问题,内核版本等问题,所以并没有简单使用clone实现,而是配合其他namespace API实现 Namespace API提供了三种系统调用接口:   ● clone():创建新的进程   ● setns
Kata Containers与gVisor:性能对比与技术解析
Kata Containers 是一种轻量级虚拟化容器技术,它类似于 runC 容器运行时,但采用了虚拟化技术,如轻量级虚拟机(LVVM),由 hyper.sh 和 Intel 创始,现在由 OpenStack 基金会托管,华为、Google、微软等公司也参与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值