CNI、CSI和CRI

CNI、CSI和CRI

CNI、CSI和CRI是三个重要的接口规范，用于容器化平台中不同层次和组件之间的通信和交互。下面是对这三个接口规范的简要解释：

1. CNI（Container Network Interface，容器网络接口）：CNI定义了容器运行时和网络插件之间的标准接口。它允许容器运行时（如Docker、Kubernetes等）通过插件机制与不同的网络解决方案进行通信，实现容器的网络配置和连接。CNI为容器提供了灵活的网络选项，使得不同的网络插件可以根据需求进行选择和使用。

2. CSI（Container Storage Interface，容器存储接口）：CSI定义了容器运行时和存储系统之间的标准接口。它允许容器运行时通过插件机制与不同的存储后端进行交互，实现容器的持久化存储。CSI的设计目标是提供一种通用的存储接口，使得不同的存储系统能够无缝地集成到容器化平台中。

3. CRI（Container Runtime Interface，容器运行时接口）：CRI定义了容器管理器（如Kubernetes）和容器运行时之间的标准接口。它提供了一种统一的方式来管理和操作容器运行时，包括容器的创建、销毁、启动、停止等操作。通过CRI，容器管理器可以与不同的容器运行时进行通信，实现对容器的统一管理和控制。

这三个接口规范共同为容器化平台提供了灵活性和可互换性，使得不同组件可以独立开发和演进，同时保持彼此之间的兼容性。

CRI

Runc

Runc 是一个用于运行容器的轻量级命令行工具，它是 Open Container Initiative (OCI) 的一部分。OCI 是一个开放标准组织，旨在定义容器运行时规范和容器格式。

Runc 的主要功能是根据 OCI 标准创建和管理容器。它负责启动、停止、暂停和删除容器，以及管理容器的生命周期。同时，Runc 还提供了一些高级特性，如资源限制、命名空间隔离、进程监控等，使得容器可以在独立的环境中运行。

Runc 的设计理念是简单和可靠性。它作为一个独立的二进制文件存在，并且可以与其他容器管理工具集成。Runc 并不关心容器的构建过程，而是专注于容器的运行时。这使得它可以与各种容器镜像格式（如 Docker 镜像）兼容。

总之，Runc 提供了一个最小化的容器运行时环境，使用户能够以标准化的方式创建和管理容器。它在容器化领域有着广泛的应用，并且被许多容器平台和工具所采用和支持。

• 一文看懂 Container Runtime
• 深入了解 runc 和 OCI 规范

Overlay network

Overlay network是一种在底层网络之上构建的虚拟网络，用于连接分布在不同地理位置、不同网络中的计算资源。通过使用Overlay network，可以在物理网络基础设施之上创建一个逻辑上的网络，使得云计算、容器化应用和分布式系统能够更加灵活地进行通信和协作。

Overlay network的工作原理是在底层网络之上创建一组虚拟节点，并使用隧道技术将这些节点连接起来。这些虚拟节点可以是虚拟机、容器、或者其他计算资源。每个节点都有自己的IP地址，并且可以直接与其他节点通信，无需了解底层网络的细节。

Overlay network提供了几种重要的功能：

1. 路由：Overlay network通过实现自己的路由协议，可以决定数据包如何在虚拟节点之间传输。这样可以实现高效的数据传输和负载均衡。

2. 安全性：Overlay network可以提供额外的安全层，对数据进行加密和认证，确保数据在传输过程中的安全性和完整性。

3. 可扩展性：Overlay network可以很容易地扩展到大规模部署，因为它们是逻辑上的网络，不受底层物理网络的限制。

4. 多租户支持：Overlay network可以实现多个租户之间的隔离，使得不同的应用或服务能够在同一个物理基础设施上运行，而彼此之间不会产生冲突。

5. 跨云和跨数据中心连接：Overlay network可以连接位于不同云提供商或不同数据中心的计算资源，实现跨地域的通信和协作。

总而言之，Overlay network是一种构建在底层网络之上的虚拟网络，它提供了更高级别的抽象和功能，使得分布式系统和云计算应用能够更加灵活、安全和可扩展。

containerd

containerd 是一个开源的容器运行时管理工具，它是 Docker 社区的一部分，并且用于管理和执行容器。

以下是 containerd 的管理方法：

1. 镜像管理： containerd 支持拉取、推送和管理容器镜像。你可以使用 ctr 命令行工具或者调用 containerd 的 API 来管理镜像。通过 ctr images pull 命令可以拉取镜像，使用 ctr images ls 可以列出已经拉取的镜像。

2. 容器生命周期管理： 使用 containerd，你可以创建、启动、停止、重启和删除容器。你可以使用 ctr run 命令来创建并启动一个容器，使用 ctr task stop 命令停止容器任务，使用 ctr container rm 命令删除容器。

3. 容器网络和存储管理： containerd 提供了容器网络和存储的管理功能。它支持创建和管理容器网络命名空间，并提供一些网络插件，如 bridge、overlay 等。此外，containerd 还支持存储卷的创建和管理，允许容器与主机之间共享文件和目录。

4. 事件处理： containerd 提供了对容器生命周期事件的监控和处理能力。它可以收集和记录容器的各种事件，例如容器的创建、启动、停止等。你可以使用 ctr events 命令来查看容器事件。

5. 插件支持： containerd 具有可扩展性，可以通过插件机制进行功能扩展。它提供了一组标准化的接口和协议，允许开发者编写自定义插件来实现特定的功能需求。

总的来说，containerd 是一个强大的容器运行时管理工具，可以帮助你管理容器的镜像、生命周期、网络和存储等方面。通过使用命令行工具或者调用 containerd 的 API，你可以轻松地完成这些管理任务。

ctr --help
NAME:
   ctr -
        __
  _____/ /______
 / ___/ __/ ___/
/ /__/ /_/ /
\___/\__/_/

containerd CLI


USAGE:
   ctr [global options] command [command options] [arguments...]

VERSION:
   v1.5.11-k3s2

DESCRIPTION:

ctr is an unsupported debug and administrative client for interacting
with the containerd daemon. Because it is unsupported, the commands,
options, and operations are not guaranteed to be backward compatible or
stable from release to release of the containerd project.

COMMANDS:
   plugins, plugin            provides information about containerd plugins
   version                    print the client and server versions
   containers, c, container   manage containers
   content                    manage content
   events, event              display containerd events
   images, image, i           manage images
   leases                     manage leases
   namespaces, namespace, ns  manage namespaces
   pprof                      provide golang pprof outputs for containerd
   run                        run a container
   snapshots, snapshot        manage snapshots
   tasks, t, task             manage tasks
   install                    install a new package
   oci                        OCI tools
   shim                       interact with a shim directly
   help, h                    Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug                      enable debug output in logs
   --address value, -a value    address for containerd's GRPC server (default: "/run/k3s/containerd/containerd.sock") [$CONTAINERD_ADDRESS]
   --timeout value              total timeout for ctr commands (default: 0s)
   --connect-timeout value      timeout for connecting to containerd (default: 0s)
   --namespace value, -n value  namespace to use with commands (default: "k8s.io") [$CONTAINERD_NAMESPACE]
   --help, -h                   show help
   --version, -v                print the version

nerdctl

下载安装：https://github.com/containerd/nerdctl

alias nerdctl='nerdctl -n k8s.io'
nerdctl images
nerdctl ps 

要查看 containerd 的命名空间，可以执行以下步骤：

1. 首先，确保已安装 containerd 并运行。如果尚未安装，请参考相关文档进行安装和配置。

2. 打开终端或命令提示符，并使用以下命令启动 containerd：

   sudo systemctl start containerd
   

3. 确认 containerd 是否正在运行，并检查其进程ID（PID）：

   sudo systemctl status containerd
   

   这将显示 containerd 的状态信息，包括 PID。

4. 以超级用户（root）身份打开另一个终端或命令提示符，并使用以下命令连接到 containerd 的命名空间：

   sudo nsenter -t <containerd_pid> -n
   

   将 <containerd_pid> 替换为在第3步中获取的 containerd 进程的 PID。

5. 现在，您已经进入了 containerd 的命名空间，可以执行与容器管理相关的命令，例如 ctr 命令行工具或查看相关的文件、目录等。

请注意，对 containerd 进行任何修改或操作需要谨慎，并且需要足够的理解和知识来处理容器和容器运行时。

/usr/local/bin/containerd-shim-runc-v2 -namespace k8s.io -id 159fcc971b95b859d9c7e94e7b5ea3f4a645fd4c587958ee59b4a73f8a3efcf5 -address /run/containerd/containerd.sock

https://www.cnblogs.com/zhangmingcheng/p/17524721.html

CNI

Pod 到底是如何获取 IP 地址的？

kube-controller-manager 为每个节点分配一个podCIDR。然后，IP 地址从 podCIDR 内的子网分配给节点上的 Pod。由于所有节点上的 podCIDR 都是不重叠的子网，因此它允许为每个 Pod 唯一分配 IP 地址。

Kubernetes 集群管理员配置并安装 kubelet 、容器运行时和网络提供程序，并将 CNI 插件分发到每个节点。当网络提供商代理启动时，它会生成 CNI 配置。

Pod在节点上调度后，kubelet调用CRI插件创建Pod。对于容器，容器的 CRI 插件会调用 CNI 配置中指定的 CNI 插件来配置 Pod 网络。所有这些因素都会影响 Pod 的 IP 地址分配。