Kubernetes 项目：检查移除 Dockershim 对集群的影响

Kubernetes 项目：检查移除 Dockershim 对集群的影响

website Kubernetes website and documentation repo: 项目地址: https://gitcode.com/gh_mirrors/webs/website

前言

随着 Kubernetes v1.24 版本的发布，内置的 dockershim 组件被正式移除。这一变化对许多使用 Docker 作为容器运行时的集群产生了深远影响。本文将从技术角度深入分析 dockershim 的作用机制，并提供详细的检查方法，帮助管理员评估这一变更对现有集群的影响。

什么是 dockershim？

在 Kubernetes 架构中，dockershim 是一个适配器组件，它使得 Kubernetes 能够通过容器运行时接口（CRI）与 Docker 引擎交互。由于 Docker 在 CRI 标准制定前就已存在，dockershim 充当了桥梁角色，将 kubelet 的 CRI 请求转换为 Docker 能够理解的 API 调用。

为什么需要移除 dockershim？

Kubernetes 社区决定移除 dockershim 主要基于以下考虑：

1. 维护负担：维护 dockershim 增加了 Kubernetes 核心代码的复杂性
2. 标准化：推动使用标准化的 CRI 接口与容器运行时交互
3. 性能优化：移除中间层可以提高容器操作的效率

如何检查集群是否受影响

1. 检查直接依赖

运行以下命令检查节点当前使用的容器运行时：

kubectl get nodes -o wide

观察 CONTAINER-RUNTIME 列，如果显示为 docker:// 前缀，则表明该节点仍在使用 Docker。

2. 检查特权 Pod 中的 Docker 命令

查找集群中运行的特权 Pod，检查它们是否执行 Docker 命令：

kubectl get pods --all-namespaces -o json | jq '.items[] | select(.spec.securityContext.privileged == true) | .metadata.name'

3. 检查节点初始化脚本

审查节点初始化过程中可能存在的 Docker 依赖：

# 对于 systemd 系统
journalctl -u kubelet | grep -i docker

4. 检查监控和安全代理

许多监控和安全工具直接与 Docker 交互，检查它们是否安装在节点上：

ps aux | grep -E 'datadog|sysdig|falco|twistlock'

常见问题及解决方案

文件系统指标差异

当从 Docker 迁移到其他容器运行时（如 containerd）时，你可能会注意到：

1. 指标格式变化：

   • Docker：k8s_<container-name>_<pod-name>_...
   • Containerd：<container-id>

2. 缺失的指标包括：

   • container_fs_inodes_free
   • container_fs_usage_bytes
   • 其他与文件系统相关的指标

解决方案： 部署独立运行的 cAdvisor 实例来收集完整的容器指标。

容器操作方式变化

迁移后，以下 Docker 命令将不再可用：

• docker ps
• docker inspect
• docker exec
• docker logs

替代方案： 使用 kubectl 命令：

kubectl get pods
kubectl describe pod <pod-name>
kubectl exec -it <pod-name> -- <command>
kubectl logs <pod-name>

迁移路径建议

1. 评估依赖：使用上述方法全面评估集群对 Docker 的依赖程度
2. 测试环境验证：在测试集群中验证迁移过程
3. 选择替代运行时：考虑 containerd 或 CRI-O 作为替代方案
4. 更新工具链：确保 CI/CD 流水线和其他工具支持新的运行时
5. 分阶段迁移：先迁移非关键工作负载，再迁移生产环境

结论

dockershim 的移除是 Kubernetes 发展的重要里程碑，虽然短期内可能带来一些迁移挑战，但从长远看，这将使 Kubernetes 架构更加清晰和高效。通过系统性的检查和准备，管理员可以确保集群平稳过渡到新的容器运行时环境。

建议所有使用 Docker 作为容器运行时的集群管理员尽快开始评估和规划迁移工作，以避免未来版本升级时可能遇到的问题。

website Kubernetes website and documentation repo: 项目地址: https://gitcode.com/gh_mirrors/webs/website