容器运行时

已于 2023-10-22 13:07:45 修改
阅读量38 收藏
点赞数
分类专栏: 逐页解释K8S官方文档 文章标签: kubernetes 学习 容器
于 2023-10-18 22:55:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyk8s/article/details/133916682
版权

前言

容器运行时指的是Docker、containerd这样的容器引擎,而kubernetes是一个容器运行时编排工具,Kubernetes不仅可以编排Docker,还可以编排containerd。
本页文档介绍了4个容器运行时:containerd、CRI-O、Docker、mirantis.

转发IPV4并让iptables看到桥接流量

这个配置主要是配置net.bridge.bridge-nf-call-iptables为1。开启这个参数的目的是为了让bridge设备在做二层转发时也去调用iptables配置的三层规则。
在进一步解释这个参数前,先来看下service的访问流程。客户端->service clusterip->pod ip。如果不配置此参数的话,会导致同一个Node上的不同POD通过service访问时不通,因为k8s的service服务必须经过DNAT映射到真实的PODIP,但是经过DNAT到真实的POD IP后,在响应数据给客户端的时候发现目的端是同一个Node上的POD,则会直接在2层bridge设备上直接通信,没有经过三层的SNAT,也就是说去POD的数据和回来的数据走了不同的路,内核认为这两者的数据不是同一个连接,与是就不能互相通信导致数据传输失败。而配置net.bridge.bridge-nf-call-iptables意思就是即便二层bridge也会调用三层的iptables进行数据转发。service的具体实现是靠kube-proxy来做的,kube-proxy根据service的定义来创建路由条目。

cgroup控制组

cgroup控制组的作用主要是限制Linux的进程所能使用的资源阈值,比如一个进程最多能使用多少CPU,多少内存,多少硬盘IO等。kubelet功能就是根据从APISERVER获取到的容器资源限制参数来给容器所能使用的资源加以限制。在Linux上有两个cgroup控制组组件cgroupfs和systemd。
这里我想详细的说一下cgroups,因为这个知识点是容器实现技术的三大知识点中的其中之一。cgroups首先是Linux内核的一项功能,用于限制、记录和隔离一组进程的资源使用。cgroups功能的实现依赖于四个核心概念:子系统、控制组、层级树、任务。

  1. 控制组
    cgroups和cgroup是两个东西,cgroups是内核的一个实现资源控制的组件。而cgroup是表示一组进程和一组带有参数的子系统的关联关系。比如一个进程使用了CPU子系统来限制CPU的使用时间,则这个进程和CPU子系统的关联关系称为cgroup控制组。
  2. 子系统
    一个子系统代表一类资源控制器。例如内存子系统可以限制内存的使用量,CPU子系统可以限制CPU的使用时间。在/sys/fs/cgroup目录下可以看到内核支持的子系统类别。其中cpu是控制任务对CPU的使用,cpuacct是自动生成cgroup中任务对cpu资源使用情况的报告,cpuset可以为cgroup中的任务分配独立的cpu和内存,blkio是可以为块设备设定输入输出限制,devices可以开启或关闭cgroup中任务对设备的访问,freezer可以挂起或恢复cgroup中的任务,pids限制任务数量,memory可以设定cgroup中任务对内存使用量的限定并且生成使用报告,perf_event使用后可以是cgroup中的任务可以进行统一的性能测试。
  3. 层级树
    由一系列控制组按照树状结构排列组成,形成带有父子结构的层级树。子控制组可以自动继承父控制组的资源限制。
  4. 任务
    任务是一个进程,一个任务可以是多个cgroup的成员。
    这里总结一下就是,使用不同的子系统来对控制组里的资源进行限制配置,然后将一个任务放进控制组中,那么这个任务就只能使用控制组中配置的资源值。多个任务可以形成层级树的结构,来简化任务的控制组分配工作量。

实际例子来使用cgroup

#!/bin/bash  
while true;do  
echo "1"  
done

将以上4行内容保存为cgroup_test.sh,然后执行如下命令:

mkdir -p /sys/fs/cgroup/cpu/cgroup_test/ 
echo 50000 > /sys/fs/cgroup/cpu/cgroup_test/cpu.cfs_quota_us

执行完以上命令后使用bash cgroup_test.sh启动bash进程。然后ps -efww | grep bash查看bash的进程id。

echo 53742 > /sys/fs/cgroup/cpu/cgroup_test/cgroup.procs

使用top查看CPU的占用率是不是50%。

cgroupfs和systemd应该怎么选

当操作系统是使用systemd来初始化系统的时候,不推荐使用cgroupfs,因为systemd本身就有一个cgroup管理器,如果再启动一个cgroupfs,就会有两个cgroup管理器,资源的限制策略就会混乱,变的不稳定。docker配置使用systemd,是在/etc/docker/daemon.json文件中配置。kubelet配置使用systemd是在yaml中的配置项cgroupDriver配置.
从1.22开始,kubeadm默认使用systemd作为cgroup驱动。另外不要更改已经加入集群节点的cgroup驱动,而是先驱逐走所有的POD,然后更改节点cgroup驱动,然后再重新朝此节点调度POD。

容器运行时

  1. containerd
    在centos7上安装containerd可以使用yum一键安装,如果提示没有containerd安装包的话,可以添加阿里云开源镜像站的docker仓库。在安装完containerd容器运行时候,需要在/etc/containerd/config.toml配置几个参数项:
    • 配置systemd cgroup驱动
      [plugins.“io.containerd.grpc.v1.cri”.containerd.runtimes.runc.options]
      SystemdCgroup = true
    • 启用CRI
      disabled_plugins的CRI去掉
    • 更改pause的镜像地址
      sandbox_image = “registry.k8s.io/pause:3.2”
      现在的阿里云、腾讯云的容器服务中,默认的容器运行时都是containerd了。所以docker已经是会被慢慢去掉了,尽早的研究和部署containerd。
  2. CRI-O
    CRI-O是一个轻量级的容器运行时,其安装、配置方式和containerd类似,这里不做重点解析了。
  3. Docker Engine
    Docker在k8s 1.22版本后需要安装cri-dockerd组件来和kubernetes集成使用。Docker容器运行时,是使用比较多的一种容器运行时了。
    从k8s1.24起,如果想让k8s继续管理docker容器,需要安装cri-dockerd组件,让k8s管理cri-dockerd,而让cri-dockerd去管理docker。因为1.24版本起,k8s移除了Dockershim模块,而Dockershim是docker容器的管理模块。
  4. mirantis
    mirantis是一种商用容器运行时,mirantis公司收购了Docker的企业版,因此mirantis这个容器运行时是继承了docker ee的大部分功能和特点。
百稳开源
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8s(十六):k8s集群修改默认容器运行从 Docker 改为 Containerd
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-10 1万+
🔴 K8s(十六):k8s集群修改默认容器运行从 Docker 改为 Containerd
ctr-powertest:容器运行测试套件
05-15
ctr-powertest-容器运行测试工具简单易扩展的工具,可用于任何OCI支持的容器运行。 在支持的运行运行相同的测试用例很有用。 目前支持状态:在制品Containerd支持已完成80%。 任何实现Kubernetes容器运行...
Docker 架构解析:理解 Docker 引擎和容器运行
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
07-29 2586
本篇博客《Docker 架构解析:理解 Docker 引擎和容器运行》深入探讨了 Docker 技术的核心概念和关键组件。在引言部分,简要介绍了 Docker 的重要性和普及程度,并提出了本文的目的:帮助读者深入理解 Docker 架构、引擎和容器运行。随后,我们分别阐述了 Docker 是什么以及它的核心概念,引入了 Docker 的主要组件和工作原理。紧接着,我们对 Docker 的整体架构进行了概述,并解释了各个组件的作用,包括 Docker 镜像、容器、Docker 引擎和容器运行等。
一篇了解Containerd容器运行及安装
热门推荐
秦子腾
04-28 4万+
containerd是一个开源的容器运行,是Docker引擎的一部分,也是CNCF的一个项目,Containerd提供了标准的容器运行接口,当然也可以对容器进行管理,常常用来集成Kubernetes、Docker Compose等编排工具。
CRI (容器运行接口)详解
ljran0612的专栏
11-03 2754
我们 称之为,其中最知名的就是 Docker。为了 更具扩展性, Kubernetes 1.5 版本开始就加入了。每个容器运行都有特点,因此不少用户希望 Kubernetes 能够支持更多的容器运行。Kubernetes从Docker 的 CRI 实现在 Kubernetes1.6 中被更新为 Beta 版本,并在 kubelet启动默认启动。
容器运行-名词概念扫盲
z344310362的专栏
11-26 2216
前言 容器技术很早就有了,Docker 是目前最广泛的容器引擎技术, 使用 Linux Cgroup namespace 等技术分隔进程。为了更好的规范容器技术的发展,Docker、CoreOS 和容器行业中的其他领导者在 2015年6月共同发起了 Open Container initiative(OCI) 基金会。OCI 基金会领导社区进行制定了相关规范,主要包括: 镜像规范(image spec) 运行规范(runtime spec) Docker 在容器社区的贡献 在 OCI 基金成立后,Do
Docker 容器运行runtime
小楼一夜听春雨,深巷明朝卖杏花
03-11 5204
容器核心技术 容器核心技术是指能够让 container 在 host 上运行起来的那些技术。 这些技术包括容器规范、容器 runtime、容器管理工具、容器定义工具、Registry 以及 容器 OS,下面分别介绍。 容器规范 容器不光是 Docker,还有其他容器,比如 CoreOS 的 rkt。为了保证容器生态的健康发展,保证不同容器之间能够兼容,包含 Docker、CoreOS、Google在内的若干公司共同成立了一个叫 Open Container Initiative(OCI).
容器运行与k8s概述
weixin_39246554的博客
11-30 5289
k8s
容器运行】一文理解 OCI、runc、containerd、docker、shim进程、cri、kubelet 之间的关系
叮当猫的喵i
03-06 3304
方法 https://github.com/containerd/containerd/blob/v1.4.3/runtime/v2/runc/v2/service.go#L174-L286。结合源码 https://github.com/containerd/containerd/blob/v1.4.3/runtime/v2/shim/shim.go#L221-L229。可以看出,containerd是containerd-shim的父进程,contaienrd-shim是容器进程的父进程。
Kubernetes容器运行-Containerd常用操作
m0_47116305的博客
06-28 2756
Kubernetes容器运行-Containerd常用操作
轻量级容器运行 CRI-O 解析
ccy19910925的博客
07-01 4434
1.CRI-O 的诞生 当容器运行(Container Runtime)的标准被提出以后,Red Hat 的一些人开始想他们可以构建一个更简单的运行,而且这个运行仅仅为 Kubernetes 所用。这样就有了skunkworks项目,最后定名为CRI-O, 它实现了一个最小的 CRI 接口。在 2017 Kubecon Austin 的一个演讲中, Walsh 解释说, ”CRI-O 被设计为比其他的方案都要小,遵从 Unix 只做一件事并把它做好的设计哲学,实现组件重用“。 根据 Red ...
iSulad是一个轻量级的容器运行守护进程,专为物联网和云基础设施而设计
05-28
iSulad是一个轻量级的容器运行守护进程,专为物联网和云基础设施而设计。iSulad是一个由C/C++编写实现的轻量级容器引擎,具有轻、灵、巧、快的特点,不受硬件规格和架构限制,底噪开销更小,可应用的领域更为广泛...
46 _ 解读 CRI 与 容器运行1
08-04
【CRI(Container Runtime Interface)】是Kubernetes为了实现与不同容器运行的解耦而设计的一套标准接口。它的引入使得Kubernetes可以与多种容器运行环境(如Docker, containerd, cri-o等)无缝对接,提升了...
具有 OCI 接口的安全容器运行
06-28
什么是夸克容器Quark Container 是一个高性能的安全容器运行,具有以下特点:OCI 兼容:Quark Container 包括一个开放容器计划 (OCI) 接口。常见的 Docker 容器镜像可以在 Quark Container 中运行。安全:它提供...
rabbitc:微容器运行
04-30
Rabbitc是用于学习目的的微型容器运行。 有关更多信息,请阅读博客。 建造 Rust工具链是构建rabbitc所必需的。 克隆此存储库并运行cargo build --release 。 rabbitc --help打印所有rabbitc --help选项。 ...
[k8s源码]9.workqueue
最新发布
weixin_45396500的博客
07-24 613
client-go 是一个库,提供了与 Kubernetes API 服务器交互的基础设施。它提供了诸如 Informer、Lister、ClientSet 等工具,用于监听、缓存和操作 Kubernetes 资源。而自定义控制器则利用这些工具来实现特定的业务逻辑和自动化任务。业务逻辑实现:client-go 不包含特定的业务逻辑。自定义控制器允许实现特定于您的应用程序或需求的逻辑。扩展 Kubernetes:通过自定义控制器,可以扩展 Kubernetes 的功能,处理自定义资源或实现特定的自动化任务。
k8s v1.30 完整安装过程及CNI安装过程总结
从善若水的博客
07-21 637
k8s v1.30 完整安装过程及CNI安装过程总结
k8s+containerd(kvm版)
weixin_62799021的博客
07-22 714
k8s(Kubernetes)是由Gogle开源的容器编排引擎,可以用来管理容器化的应用程序和服务,kk8s提供了自动重启、自动重建、自动修复提高集群的可用性,以下概念稍微了解即可,看一看直接实操,
[k8s源码]8.deltaFIFO
weixin_45396500的博客
07-24 342
DeltaFIFO: 这是一个特殊类型的队列,它结合了FIFO(先进先出)队列的特性和增量(Delta)处理的能力。这种设计提供了处理的灵活性和优化的机会,允许控制器根据实际需求选择最有效的处理策略。Resync机制会将Indexer本地存储中的资源对象同步到DeltaFIFO中,并将这些资源对象设置为Sync的操作类型。Resync函数在Reflector中定执行,它的执行周期由NewReflector函数传入的resyncPeriod参数设定。获取资源对象(如 Pod)的变化。
如何检查容器运行是否支持CRI v1
06-11
要检查容器运行是否支持 CRI v1,您可以使用以下命令: ``` $ crictl version ``` 该命令将输出当前使用的 CRI 运行的版本信息,以及该运行所支持的 CRI 版本。例如,如果您使用的是 cri-o 运行,可以得到如下输出: ``` Version: 1.17.0 RuntimeName: cri-o RuntimeVersion: 1.17.0 RuntimeApiVersion: 1.17.0 ``` 其中,"RuntimeApiVersion" 表示该运行所支持的 CRI 版本。如果 "RuntimeApiVersion" 的值为 "v1" 或者 "v1alpha1",则表示该运行支持 CRI v1 版本。如果该值为其他值,则表示该运行不支持 CRI v1 版本。 如果您使用的是其他容器运行,可以查阅相关文档,确认其支持的 CRI 运行 API 版本和相应的运行端点地址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值