CRI (containerd/CRI-O) + hostNetwork

于 2025-05-20 15:16:18 发布
阅读量610 收藏 24
点赞数 24
分类专栏: K8s 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezuijiudexiaobai/article/details/148088505
版权

目录标题

在 Kubernetes 1.24 中移除了 Dockershim,转而使用 CRI(如 containerd 或 CRI-O)来管理容器运行时;此时若在 PodSpec 中设置 hostNetwork: true,Pod 就会跳过独立网络命名空间的创建,直接附着到节点的网络命名空间上,容器进程绑定的端口和接口即为宿主机的端口和接口,无需中间的代理或 DNAT 规则。下面分几部分详细说明这一机制在 “无 Docker” 环境下的实现原理。

1. Docker Shim 移除与 CRI 架构变更

  • Dockershim 移除
    Kubernetes 1.24 正式删除了对 Docker Engine 作为容器运行时的原生支持(Dockershim)(Kubernetes)。
  • CRI 取代方案
    当前主流集群通常采用 containerd 或 CRI-O,通过 Kubelet 的 CRI 接口管理容器生命周期与网络命名空间(Network Namespace)(Kubernetes)。

2. hostNetwork: true 的网络暴露原理

  • 共享网络命名空间
    hostNetwork: true 时,Kubelet 不会为 Pod sandbox 创建独立的网络命名空间,而是让其共享所在节点的网络命名空间——容器的 eth0、IP、路由等即为主机的(support.huaweicloud.com)。
  • 直接绑定宿主机接口
    容器里应用监听的端口直接绑定到宿主机的网络接口,等同在宿主机上启动该进程;访问时使用节点 IP + 对应端口即可命中容器服务,无需 Docker-proxy 或 iptables DNAT 规则(腾讯云, GitHub)。
  • 跳过 CNI 插件
    对于 hostNetwork 模式,CNI 插件通常不对网络进行额外配置,因为不需要创建或设置独立的网络命名空间(tetrate.io, tigera.io)。

3. CRI-O / containerd 中的实现流程

  1. Pod 调度与沙箱创建
    Kubelet 调用 CRI(containerd 或 CRI-O)创建一个 Pod-level 的沙箱容器(Pause Container),并准备网络命名空间。此步骤在非 hostNetwork 时会通过 CNI 创建独立命名空间(博客园)。
  2. HostNetwork 跳过
    如果检测到 hostNetwork: true,CRI 直接将沙箱和后续应用容器附加到节点的默认网络命名空间,不执行 CNI 的网络 namespace 配置(support.huaweicloud.com)。
  3. 容器启动与端口绑定
    应用容器在此共享的命名空间中启动,监听的端口即为宿主机接口上的端口。容器运行时(containerd/cri-o + crun/runc)直接调用 bind() 到宿主机接口,无需任何中间转发(GitHub, GitHub)。

4. 与旧有 Docker-proxy 方案的对比

特性Docker + docker-proxyCRI (containerd/CRI-O) + hostNetwork
端口转发通过独立进程 /usr/bin/docker-proxy 或者 iptables DNAT 实现直接在容器进程中绑定宿主机接口,无额外代理或 DNAT
性能与延迟存在一层进程/iptables 转发开销无额外转发环节,性能更优
网络隔离Pod 仍在独立网络命名空间,通过 hostPort 或 Proxy 暴露端口无隔离,容器与宿主机、其他 hostNetwork Pod 共享网络
CNI 插件参与度通常不影响 CNI 配置不调用 CNI 插件,跳过网络 namespace 及 IPAM 配置

5. 典型使用场景与注意事项

  • 高性能网络服务
    需要最低延迟或较大带宽的场景(如网络探针、监控代理)常用此模式。
  • 端口冲突与安全风险
    多个 Pod 或宿主机进程监听同一端口会导致冲突;且失去网络隔离,必须谨慎评估安全边界。
  • DNS 策略
    若同时使用内部服务发现,建议将 dnsPolicy 设置为 ClusterFirstWithHostNet,确保能正确解析集群内服务名。

参考文献

  1. Kubernetes 1.24 将移除 Dockershim,转而使用 containerd/CRI-O(Kubernetes)
  2. CRI 支持的多种容器运行时(containerd, CRI-O, Docker Engine)概述(Kubernetes)
  3. Kubernetes 的 hostNetwork 用法与示例(华为云文档)(support.huaweicloud.com)
  4. hostNetwork vs hostPort 区别与示例(腾讯云社区)(腾讯云)
  5. CRI-O 端口绑定问题讨论:无需 docker-proxy 即可直接绑定(GitHub)
  6. CNI 插件在 hostNetwork 情况下的跳过逻辑(Tetrate 博客)(tetrate.io)
  7. CNI 基本原理:网络命名空间与 IP 分配流程(tigera.io)
  8. containerd-cri 工作架构:网络命名空间由 CNI 负责配置(博客园)
  9. CRI-O 文档:与 Kubelet 集成的运行时网络处理(GitHub)
  10. Dockershim 移除影响及替代建议(阿里云 ACK Release Notes)(alibabacloud.com)
Centos7 部署 Kubernetes Containerd
专注基础架构领域
12-05 1495
cri-containerd-cni-1.6.4-linux-amd64.tar.gz 包含containerd以及cri runc等相关工具包,建议下载本包。containerd-1.6.4-linux-amd64.tar.gz 只包含containerd。默认情况下k8s.gcr.io无法访问,所以使用我提供的阿里云镜像仓库地址即可。包中会有containerd启动脚本,我们已经解压到对应的目录,可以直接调用启动。上面的文件都是二进制文件,直接移动到对应的目录并配置好环境变量就可以进行使用了。
Rycky9.3安装k8s1.28.5+containerd/CRI-O网络插件flannel/calico
qq_19402941的博客
09-06 2566
Rycky9.3安装k8s1.28.5+containerd/CRI-O网络插件flannel/calico
containerd系统分析(六)-CRI接口
01-11 763
本节分析了containerdcri接口,重点分析了sandbox容器和普通的容器的创建和启动,也分析了cri和ctr的异同点
浅谈 Containerd、 Docker 和 CRI-O 三种容器运行时工作原理
easylife206的专栏
01-07 3007
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !运行时指的是程序的生命周期阶段或使用特定语言来执行程序。容器运行时的功能与它类似——它是运行和管理容器所需组件的软件。这些工具可以更轻松地安全执行和高效部署容器,是容器管理的关键组成部分。在容器化架构中,容器运行时负责从存储库加载容器镜像、监控本地系统资源、隔离系统资源以供容器使用以及管理容器生命周期。容器运行时的常...
实战:centos7上containerd的安装-20211023
weixin_39246554的博客
10-24 3849
目录 文章目录目录实验环境实验软件1、安装libseccomp依赖包2、下载containerd软件包并解压3、生成containerd 的默认配置文件config.toml4、启动containerd服务5、验证6、配置镜像加速器地址需要注意的问题关于我总结 实验环境 实验环境: 1、win10笔记本 2、1台centos7.6虚机(vmwrokstation虚机) cri-containerd-cni-1.5.5-linux-amd64.tar.gz 实验软件 链接:https://pan.bai.
《Kubernetes部署篇:Ubuntu20.04基于二进制安装安装cri-containerd-cni》
东城绝神
08-30 1755
《Kubernetes部署篇:Ubuntu20.04基于二进制安装安装cri-containerd-cni》
docker 20.10.9 dockerd containerd containerd-shim-runc-v2 runc 组件分析
hknaruto的专栏
03-14 3610
下载地址 https://download.docker.com/linux/static/stable/x86_64/docker-20.10.9.tgz 解压到/usr/local/ yeqiang@yeqiang-PC:/usr/local/docker$ ll 总用量 200848 -rwxr-xr-x 1 root staff 33908392 2022-03-14 09:47:07 containerd -rwxr-xr-x 1 root staff 6508544 2022-03-
ubuntu22.04安装k8s集群(cri-docker+haproxy+keepalived)
SeeYouGoodBye的专栏
01-19 2747
使用haproxy和keeplived搭建高可用的多主K8s集群
【云原生-K8s】kubeadm搭建安装k8s集群v1.25版本完整教程【docker、网络插件calico、中间层cri-docker】
热门推荐
起而行动,方能平定心中的惶恐
11-06 5万+
从 k8s 1.24开始,dockershim已经从kubelet中移除,但因为历史问题docker却不支持kubernetes主推的CRI(容器运行时接口)标准,所以docker不能再作为k8s的容器运行时了,即从k8s v1.24开始不再使用docker了但是如果想继续使用docker的话,可以在kubelet和docker之间加上一个中间层cri-docker。cri-docker是一个支持CRI标准的shim(垫片)。
k8s集群升级
weixin_56744753的博客
10-29 359
k8s从1.24版本开始移除了dockershim,所以需要安装cri-docker插件才能使用docker。k8s从1.24版本开始移除了dockershim,所以我们不在使用docker,选用。禁用所有节点docker和cri-docker服务。1. 部署cri-docker (所有集群节点)修改节点套接字 #需要在master节点执行。解除节点保护 #需要在master节点执行。配置kubelet使用cri-docker。配置kubelet使用cri-docker。升级kubeadm 执行升级。
安装kata container with cri-o
immerarbeiten的博客
11-07 720
kata container with cri-o
K8S V1.23 安装--Kubeadm+contained+公网 IP 多节点部署
github_35735591的博客
06-30 6080
基于两台公网的服务器节点,两个服务器不再局域网内,只能通过公网 IP 相互访问,搭建 K8S 集群,并且按照 Dashboard,通过网页查看 K8S 相关的东西
开源项目实战学习之YOLO11:12.1 ultralytics-models-sam-blocks.py源码
kngines
05-17 258
开源项目实战学习之YOLO11:12.1 ultralytics-models-sam-blocks.py源码
Adobe Illustrator学习备忘
sdaujz的博客
05-17 559
1.移动对象:需按住空格键加鼠标一块才能拖动。
学习笔记(C++篇)—— Day 6
2406_83392683的博客
05-17 1032
int main()//申请空间//申请空间+构造函数//只释放空间free(p1);//析构函数 + 释放空间delete p2;delete p3;return 0;注意:在申请自定义类型的空间时,new会调用构造函数,delete会调用析构函数,而malloc与free不会。由于C++的这些用法,用C++写链表会使得过程更加简便。
广域网学习
2301_81350613的博客
05-18 883
可以使以太网网络中的多台主机连接到远端的宽带接入服务器。配置本地作为被认证方,以及账号密码信息。功能和指定对端用户名,必须与对端配置的。帧封装到以太网帧中的链路层协议。用户名一致,该名称对端可不设置。提供接入控制、认证等功能。,使内部用户可以上网。
AM32电调学习解读五:tenKhzRoutine
hyhsandy1803的博客
05-18 367
最近在学习AM32电调的2.18版本的源码,我用的硬件是AT32F421,整理了部分流程处理,内容的颗粒度是按自己的需要整理的,发出来给有需要的人参考。按自己的理解整理的,技术能力有限,可能理解有误,欢迎纠正。​注:lida2003博主是个大牛。写的无刷电调的理论和AM32相关知识点介绍的比较系统,介绍的很详细,有需要的同学可以去参考。我对电调这块是外行,只是刚入门学习。这里重点是代码理解的整理分析,他哪里写了很多原理性的知识。
文献学习|DBB2 调节玉米株高和避阴反应
最新发布
2302_80012625的博客
05-20 913
在模式植物拟南芥(Arabidopsis thaliana)中,多种光受体,如光敏色素(phyA、phyB)、隐花色素(CRY1)和UVR8,已被鉴定为与SAR相关的各种细胞过程的关键参与者(Keller等,2011;Burko等,2022)、B盒蛋白(BBX21、BBX22、BBX24)(Crocco等,2010,2015)以及同源框蛋白(HB、HB2、HB4)(Sorin等,2009),都参与了SAR的调控。Xu等,2023)。作物的株高受到茎秆中节间数量和长度的共同影响(Le等,2022)。
强化学习系列——时序差分学习(SARSA与Q-Learning)
qq_36892712的博客
05-20 702
强化学习环境一般建模为一个马尔可夫决策过程(MDP)SAPRγSAPRγSS:状态空间AA:动作空间Ps′∣saP(s'|s,a)Ps′∣sa:状态转移概率RsaR(s,a)Rsa:奖励函数γ∈01γ∈01:折扣因子目标是学习一个策略π\piπ下的状态值函数或状态-动作值函数:VπsEπ∑t0∞γtRt1∣S0sVπsEπ​t0∑∞​γtRt1。
[root@his ~]# kubeadm init --pod-network-cidr=192.168.0.0/16 --kubernetes-version=v1.25.0 --apiserver-advertise-address=192.168.8.109 [init] Using Kubernetes version: v1.25.0 [preflight] Running pre-flight checks [WARNING Hostname]: hostname "his" could not be reached [WARNING Hostname]: hostname "his": lookup his on 192.168.8.254:53: no such host error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR CRI]: container runtime is not running: output: E0714 18:14:51.757340 11481 remote_runtime.go:616] "Status from runtime service failed" err="rpc error: code = Unavailable desc = connection error: desc = \"transport: Error while dialing dial unix /var/run/containerd/containerd.sock: connect: no such file or directory\"" time="2023-07-14T18:14:51+08:00" level=fatal msg="getting status of runtime: rpc error: code = Unavailable desc = connection error: desc = \"transport: Error while dialing dial unix /var/run/containerd/containerd.sock: connect: no such file or directory\"" , error: exit status 1 [ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1 [ERROR KubeletVersion]: the kubelet version is higher than the control plane version. This is not a supported version skew and may lead to a malfunctional cluster. Kubelet version: "1.27.3" Control plane version: "1.25.0" [preflight] If you know what you are doing, you can make a check non-fatal with `--ignore-preflight-errors=...` To see the stack trace of this error execute with --v=5 or higher
07-15
根据您提供的命令输出,您在执行`kubeadm init`命令时遇到了一些错误。让我们逐个来解决这些问题: 1. [WARNING Hostname]: hostname "his" could not be reached [WARNING Hostname]: hostname "his": lookup his on 192.168.8.254:53: no such host 这个警告意味着您的主机名无法解析。您可以通过编辑`/etc/hosts`文件来解决此问题,并将`his`主机名映射到正确的IP地址。示例如下: ```shell sudo nano /etc/hosts ``` 在文件中添加以下行: ``` 192.168.8.109 his ``` 保存并关闭文件。 2. [ERROR CRI]: container runtime is not running: output: E0714 18:14:51.757340 11481 remote_runtime.go:616] "Status from runtime service failed" err="rpc error: code = Unavailable desc = connection error: desc = \"transport: Error while dialing dial unix /var/run/containerd/containerd.sock: connect: no such file or directory\"" 此错误指示容器运行时未运行。这可能是由于您的容器运行时(例如containerd)未正确安装或配置导致的。请确保您已按照正确的步骤安装和配置了容器运行时。您可以尝试重新安装或重新配置容器运行时来解决此问题。 3. [ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1 这个错误表示`/proc/sys/net/bridge/bridge-nf-call-iptables`文件的内容不是1。您可以通过运行以下命令来解决此问题: ```shell echo 1 | sudo tee /proc/sys/net/bridge/bridge-nf-call-iptables ``` 4. [ERROR KubeletVersion]: the kubelet version is higher than the control plane version. This is not a supported version skew and may lead to a malfunctional cluster. Kubelet version: "1.27.3" Control plane version: "1.25.0" 这个错误表示您的kubelet版本高于控制平面版本。这不是受支持的版本差异,并且可能导致集群功能异常。为了解决此问题,您需要确保kubelet和控制平面使用相同的Kubernetes版本。您可以尝试升级或降级kubelet版本,以与控制平面版本匹配。 请根据上述解决方案逐个解决问题,并尝试重新执行`kubeadm init`命令。如果问题仍然存在,请提供更多详细信息,以便我们能够更好地帮助您解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值