容器运行时之一

最新推荐文章于 2023-09-08 20:52:11 发布
最新推荐文章于 2023-09-08 20:52:11 发布
阅读量704 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicole_smile/article/details/115352787
版权

containerd

官方参考:https://kubernetes.io/docs/setup/production-environment/container-runtimes/

使用以下命令在系统上安装容器

  • 安装和配置的先决条件
cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
overlay
br_netfilter
EOF

sudo modprobe overlay
sudo modprobe br_netfilter

# 设置必需的 sysctl 参数,这些参数在重新启动后仍然存在。
cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables  = 1
net.ipv4.ip_forward                 = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

# 应用 sysctl 参数而无需重新启动
sudo sysctl --system

安装 containerd

  • 从官方Docker仓库安装 containerd.io 软件包。可以在 安装 Docker 引擎 中找到有关为各自的 Linux 发行版设置 Docker 存储库和安装 containerd.io 软件包的说明。
  • 配置 containerd
sudo mkdir -p /etc/containerd
containerd config default | sudo tee /etc/containerd/config.toml
  • 重新启动 containerd
sudo systemctl restart containerd

使用 systemd cgroup 驱动程序
结合 runc 使用 systemd cgroup 驱动,在 /etc/containerd/config.toml 中设置

[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
  ...
  [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
    SystemdCgroup = true

当使用 kubeadm 时,请手动配置:
允许 iptables 检查桥接流量

确保 br_netfilter 模块被加载。这一操作可以通过运行lsmod | grep br_netfilter 来完成。若要显式加载该模块,可执行sudo modprobe br_netfilter

为了让你的 Linux 节点上的 iptables 能够正确地查看桥接流量,你需要确保在你的 sysctl配置中将 net.bridge.bridge-nf-call-iptables设置为 1

cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
br_netfilter
EOF

cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sudo sysctl --system

CRI-O

CRI-O 的主要以及次要版本必须与 Kubernetes 的主要和次要版本相匹配 ,更多信息请查阅 https://github.com/cri-o/cri-o#compatibility-matrix-cri-o–kubernetes

  • 安装以及配置的先决条件
# 创建 .conf 文件,以便在系统启动时加载内核模块
cat <<EOF | sudo tee /etc/modules-load.d/crio.conf
overlay
br_netfilter
EOF

sudo modprobe overlay
sudo modprobe br_netfilter

# 设置必需的 sysctl 参数,这些参数在重新启动后仍然存在。
cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables  = 1
net.ipv4.ip_forward                 = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

sudo sysctl --system

Debian/CentOs/Ubuntu 等操作系统安装见:
https://kubernetes.io/zh/docs/setup/production-environment/container-runtimes/

cgroup driver

默认情况下,CRI-O 使用 systemd cgroup 驱动程序。切换到cgroupfscgroup 驱动程序,或者编辑 /etc/crio/crio.conf或放置一个插件 在/etc/crio/crio.conf.d/02-cgroup-manager.conf 中的配置,例如

[crio.runtime]
conmon_cgroup = "pod"
cgroup_manager = "cgroupfs"

Docker

  • 在每个节点上,根据安装 Docker 引擎 为你的 Linux 发行版安装 Docker。 你可以在此文件中找到最新的经过验证的 Docker 版本依赖关系
  • 配置 Docker 守护程序,尤其是使用 systemd 来管理容器的cgroup。
sudo mkdir /etc/docker
cat <<EOF | sudo tee /etc/docker/daemon.json
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m"
  },
  "storage-driver": "overlay2"
}
EOF

说明

对于运行 Linux 内核版本 4.0 或更高版本,或使用 3.10.0-51 及更高版本的 RHEL 或 CentOS 的系统,overlay2是首选的存储驱动程序。

  • 重新启动 Docker 并在启动时启用
sudo systemctl enable docker
sudo systemctl daemon-reload
sudo systemctl restart docker
  • 安装 runtime

默认情况下,Kubernetes 使用 容器运行时接口(Container Runtime Interface,CRI) 来与你所选择的容器运行时交互。

如果你不指定运行时,则 kubeadm 会自动尝试检测到系统上已经安装的运行时, 方法是扫描一组众所周知的 Unix 域套接字。 下面的表格列举了一些容器运行时及其对应的套接字路径:

Runtime Path to Unix domain socket
Docker /var/run/dockershim.sock
containerd /run/containerd/containerd.sock
CRI-O /var/run/crio/crio.sock

如果同时检测到 Docker 和 containerd,则优先选择 Docker。 这是必然的,因为 Docker 18.09 附带了 containerd 并且两者都是可以检测到的, 即使你仅安装了 Docker。 如果检测到其他两个或多个运行时,kubeadm 输出错误信息并退出。
kubelet 通过内置的 dockershim CRI 实现与 Docker 集成。

refer:
Configure the Docker daemon
Control Docker with systemd

nicole_smile
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubeadm1.2x 集成 Containerd 容器运行
02-03
CRI 是K8S 定义的一套容器运行接口,基于gRPC通讯,但是docker不是基于CRI的,因此 kubelet 又把docker 封装了一层,搞了一个所谓的shim,也即是dockershim的东 西,dockershim 作为一个实现了CRI 接口的gRPC...
Kubernetes 笔记 / 入门 / 生产环境 / 容器运行
菜鸟的博客
07-31 679
自1.24版起,Kubernetes项目移除了Dockershim详见为了让Pod能够运行,需要在集群的每个节点上安装一个容器运行Kubernetes1.24要求使用符合的运行详见v1.24前的Kubernetes发行版包括一个与DockerEngine的直接集成使用一个名为dockershim的组件这种特殊的直接整合不再是Kubernetes的一部分(作为v1.20发行版的一部分,被)描述了该移除可能会如何影响你描述了如何从dockershim。............................
修改 Docker Cgroup Driver 为 systemd
shida's blog
01-20 1万+
Docker 在默认情况下使用的 Cgroup Driver 为 cgroupfs: # docker info Client: Debug Mode: false Server: Containers: 0 Running: 0 Paused: 0 Stopped: 0 Images: 0 Server Version: 19.03.5 Storage Driver: o...
kubernetes集群配置Cgroups驱动
rendongxingzhe的博客
05-06 4708
Cgroups概念  cgroups 的全称是 Linux Control Groups,主要作用是限制、记录和隔离进程组(process groups)使用的物理资源(cpu、memory、IO 等)。 systemd是系统自带的cgroup管理器, 系统初始化就存在的, 和cgroups联系紧密,为每一个进程分配cgroups, 用它管理就行了. 如果设置成cgroupfs就存在2个cgroup控制管理器, 实验证明在资源有压力的情况下,会存在不稳定的情况。 由于 kubeadm 把 kubele
K8s如何启用cgroup2支持?
east4ming的博客
11-16 1005
什么是 cgroup 📚️Reference: control groups(控制组),通常被称为cgroup,是Linux内核的一项功能。它允许将进程组织成分层的组,然后限制和监控各种资源的使用。 内核的cgroup接口是通过一个叫做cgroupfs的伪文件系统提供的。 分组是在核心的cgroup内核代码中实现的,而资源跟踪和限制是在一组每个资源类型的子系统中实现的(内存、CPU等等)。 cgroup 是容器和云原生的底层技术栈. kubelet 和 CRI 都需要对接 cgroup 来强制执行为 P
linux透明防火墙--br_netfilter
网络安全研究
04-17 8726
linux使用netfilter实现透明防火墙(桥接模式) 下图展示了透明防火墙下,netfilter的报文传送流程:
建立Kubernates 1.24.4 Cluster
weixin_44409735的博客
08-25 2114
本篇很多内容都是取自网络,但都是经过验证可行的操作,可以按照步骤操作,就可以部署成功。
Debian 10 手动安装 Kubernetes (k8s)
公西雒的技术站
03-28 2083
Decker 安装,Kubernetes 安装 (master&node), 这里没有用 Debian 发行版包管理自动安装,而是手动安装。
K8S基于Containerd安装
tianqiuhao的博客
03-28 951
K8S搭建,基于Containerd,1个master节点,3个node节点。
一篇了解Containerd容器运行及安装
热门推荐
秦子腾
04-28 4万+
containerd是一个开源的容器运行,是Docker引擎的一部分,也是CNCF的一个项目,Containerd提供了标准的容器运行接口,当然也可以对容器进行管理,常常用来集成Kubernetes、Docker Compose等编排工具。
k8s切换引擎Containerd
huahua1999的博客
03-28 1777
1、为什么弃用docker Kubernetes平台中,为了解决与容器运行(例如Docker)集成 问题,在早期社区推出了CRI(Container Runtime Interface,容 器运行接口),以支持更多的容器运行。 当我们使用Docker作为容器运行之后,架构是这样的,如图所示: Kubernetes 计划弃用就是kubelet中dockershim。即 Kubernetes kubelet 实现中的组件之一,它能够与 Docker Engine 进行通信 • Doc...
应用容器化之Kubernetes实践
02-25
容器给应用程序提供了一个独立的运行环境,并不是像虚拟机那样提供一套完整的操作系统,这是容器和虚拟机最大的区别,所以在用户在使用虚拟化如KVM、Vmware候很少会担心到应用能不能跑到虚拟机里面,通常只是针对...
容器化到容器编排之旅
02-24
容器带来了更高级的服务端架构和更复杂的部署技术。目前已经有一堆类似标准的规范(1,2,3,4,……)描述了容器领域的方方面面。当然,它的底层是Linux的基本单元...每个项目、公司或社区对术语容器运行都有自己的、通
docker之容器管理
01-20
文章目录创建容器查看容器运行容器停止容器暂停/唤醒容器进入容器删除容器容器状态机 创建容器 语法 docker run [OPTIONS] IMAGE [COMMAND] [ARG...] 常用选项: --name string : 给启动的容器 起一个名字,如果不...
(一)基于centos7.9安装最新版本kubernetes(1.25.2)
goodlook0123的专栏
10-20 1659
初学者建议从kubeadm入手,本文基于最新k8s的1.25.2版本进行部署安装,centos7的5.4内核。
containerd的安装和使用
最新发布
YIYIYI
09-08 2751
containerd的安装和使用
Debian11之 RKE2 部署 K8S 集群
李大能
05-17 1637
官方地址 网络配置 名称 网段 Node网段 192.168.111.0/24 Service网段 10.97.0.0/16 Pod网段 10.245.0.0/16 初始化环境 设置各节点的主机名 设置各节点Host文件(所有 Server 和 Agent 节点) 关闭各节点的防火墙(所有 Server 和 Agent 节点) 永久禁用各节点的交换分区(所有 Server 和 Agent 节点) 同步各节点的区(所有 Server 和 Agent 节点) 配置 co
kubeadmin安装高可用k8s集群
hq_bingo的博客
07-25 1193
kubeadmin安装高可用k8s集群
如何在 Kubernetes 中快速启用 Cgroup V2 支持
easylife206的专栏
01-21 1208
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !什么是 cgroup????️Reference:control groups(控制组),通常被称为cgroup,是Linux内核的一项功能。它允许将进程组织成分层的组,然后限制和监控各种资源的使用。内核的cgroup接口是通过一个叫做cgroupfs的伪文件系统提供的。分组是在核心的cgroup内核代码中实现的,而资源跟...
docker 查看一个正在运行容器创建的命令
06-03
可以使用docker inspect命令来查看一个正在运行容器创建的命令,具体命令如下: ``` docker inspect --format='{{.Config.Cmd}}' <容器名称或ID> ``` 其中,`--format`参数用于指定输出格式,`{{.Config.Cmd}}...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值