容器运行时

已于 2023-10-22 13:07:45 修改
阅读量60 收藏
点赞数
分类专栏: 逐页解释K8S官方文档 文章标签: kubernetes 学习 容器
于 2023-10-18 22:55:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyk8s/article/details/133916682
版权

前言

容器运行时指的是Docker、containerd这样的容器引擎,而kubernetes是一个容器运行时编排工具,Kubernetes不仅可以编排Docker,还可以编排containerd。
本页文档介绍了4个容器运行时:containerd、CRI-O、Docker、mirantis.

转发IPV4并让iptables看到桥接流量

这个配置主要是配置net.bridge.bridge-nf-call-iptables为1。开启这个参数的目的是为了让bridge设备在做二层转发时也去调用iptables配置的三层规则。
在进一步解释这个参数前,先来看下service的访问流程。客户端->service clusterip->pod ip。如果不配置此参数的话,会导致同一个Node上的不同POD通过service访问时不通,因为k8s的service服务必须经过DNAT映射到真实的PODIP,但是经过DNAT到真实的POD IP后,在响应数据给客户端的时候发现目的端是同一个Node上的POD,则会直接在2层bridge设备上直接通信,没有经过三层的SNAT,也就是说去POD的数据和回来的数据走了不同的路,内核认为这两者的数据不是同一个连接,与是就不能互相通信导致数据传输失败。而配置net.bridge.bridge-nf-call-iptables意思就是即便二层bridge也会调用三层的iptables进行数据转发。service的具体实现是靠kube-proxy来做的,kube-proxy根据service的定义来创建路由条目。

cgroup控制组

cgroup控制组的作用主要是限制Linux的进程所能使用的资源阈值,比如一个进程最多能使用多少CPU,多少内存,多少硬盘IO等。kubelet功能就是根据从APISERVER获取到的容器资源限制参数来给容器所能使用的资源加以限制。在Linux上有两个cgroup控制组组件cgroupfs和systemd。
这里我想详细的说一下cgroups,因为这个知识点是容器实现技术的三大知识点中的其中之一。cgroups首先是Linux内核的一项功能,用于限制、记录和隔离一组进程的资源使用。cgroups功能的实现依赖于四个核心概念:子系统、控制组、层级树、任务。

  1. 控制组
    cgroups和cgroup是两个东西,cgroups是内核的一个实现资源控制的组件。而cgroup是表示一组进程和一组带有参数的子系统的关联关系。比如一个进程使用了CPU子系统来限制CPU的使用时间,则这个进程和CPU子系统的关联关系称为cgroup控制组。
  2. 子系统
    一个子系统代表一类资源控制器。例如内存子系统可以限制内存的使用量,CPU子系统可以限制CPU的使用时间。在/sys/fs/cgroup目录下可以看到内核支持的子系统类别。其中cpu是控制任务对CPU的使用,cpuacct是自动生成cgroup中任务对cpu资源使用情况的报告,cpuset可以为cgroup中的任务分配独立的cpu和内存,blkio是可以为块设备设定输入输出限制,devices可以开启或关闭cgroup中任务对设备的访问,freezer可以挂起或恢复cgroup中的任务,pids限制任务数量,memory可以设定cgroup中任务对内存使用量的限定并且生成使用报告,perf_event使用后可以是cgroup中的任务可以进行统一的性能测试。
  3. 层级树
    由一系列控制组按照树状结构排列组成,形成带有父子结构的层级树。子控制组可以自动继承父控制组的资源限制。
  4. 任务
    任务是一个进程,一个任务可以是多个cgroup的成员。
    这里总结一下就是,使用不同的子系统来对控制组里的资源进行限制配置,然后将一个任务放进控制组中,那么这个任务就只能使用控制组中配置的资源值。多个任务可以形成层级树的结构,来简化任务的控制组分配工作量。

实际例子来使用cgroup

#!/bin/bash  
while true;do  
echo "1"  
done

将以上4行内容保存为cgroup_test.sh,然后执行如下命令:

mkdir -p /sys/fs/cgroup/cpu/cgroup_test/ 
echo 50000 > /sys/fs/cgroup/cpu/cgroup_test/cpu.cfs_quota_us

执行完以上命令后使用bash cgroup_test.sh启动bash进程。然后ps -efww | grep bash查看bash的进程id。

echo 53742 > /sys/fs/cgroup/cpu/cgroup_test/cgroup.procs

使用top查看CPU的占用率是不是50%。

cgroupfs和systemd应该怎么选

当操作系统是使用systemd来初始化系统的时候,不推荐使用cgroupfs,因为systemd本身就有一个cgroup管理器,如果再启动一个cgroupfs,就会有两个cgroup管理器,资源的限制策略就会混乱,变的不稳定。docker配置使用systemd,是在/etc/docker/daemon.json文件中配置。kubelet配置使用systemd是在yaml中的配置项cgroupDriver配置.
从1.22开始,kubeadm默认使用systemd作为cgroup驱动。另外不要更改已经加入集群节点的cgroup驱动,而是先驱逐走所有的POD,然后更改节点cgroup驱动,然后再重新朝此节点调度POD。

容器运行时

  1. containerd
    在centos7上安装containerd可以使用yum一键安装,如果提示没有containerd安装包的话,可以添加阿里云开源镜像站的docker仓库。在安装完containerd容器运行时候,需要在/etc/containerd/config.toml配置几个参数项:
    • 配置systemd cgroup驱动
      [plugins.“io.containerd.grpc.v1.cri”.containerd.runtimes.runc.options]
      SystemdCgroup = true
    • 启用CRI
      disabled_plugins的CRI去掉
    • 更改pause的镜像地址
      sandbox_image = “registry.k8s.io/pause:3.2”
      现在的阿里云、腾讯云的容器服务中,默认的容器运行时都是containerd了。所以docker已经是会被慢慢去掉了,尽早的研究和部署containerd。
  2. CRI-O
    CRI-O是一个轻量级的容器运行时,其安装、配置方式和containerd类似,这里不做重点解析了。
  3. Docker Engine
    Docker在k8s 1.22版本后需要安装cri-dockerd组件来和kubernetes集成使用。Docker容器运行时,是使用比较多的一种容器运行时了。
    从k8s1.24起,如果想让k8s继续管理docker容器,需要安装cri-dockerd组件,让k8s管理cri-dockerd,而让cri-dockerd去管理docker。因为1.24版本起,k8s移除了Dockershim模块,而Dockershim是docker容器的管理模块。
  4. mirantis
    mirantis是一种商用容器运行时,mirantis公司收购了Docker的企业版,因此mirantis这个容器运行时是继承了docker ee的大部分功能和特点。
百稳开源
关注
专栏目录
containerd 如何成为 Kubernetes 的首选容器运行时
小楼一夜听春雨,深巷明朝卖杏花
07-24 2579
了解了 OCI 规范后,我们再来看看什么是低级和高级容器运行时的区别。了解这些区别有助于我们更好地理解容器运行时的选择和优化,确保在不同的应用场景中能够选择最合适的工具,从而提高系统性能和管理效率。containerd 作为一个轻量级、高性能和稳定的容器运行时,已经成为 Kubernetes 的首选。通过专注于核心功能和深度集成,containerd 为容器管理提供了高效的解决方案。
CRI (容器运行时接口)详解
ljran0612的专栏
11-03 2911
我们 称之为,其中最知名的就是 Docker。为了 更具扩展性, Kubernetes 1.5 版本开始就加入了。每个容器运行时都有特点,因此不少用户希望 Kubernetes 能够支持更多的容器运行时Kubernetes从Docker 的 CRI 实现在 Kubernetes1.6 中被更新为 Beta 版本,并在 kubelet启动时默认启动。
【K8s】专题十三:Kubernetes 容器运行时之 Docker 与 Containerd 详解
运维、实施交付领域知识交流
09-03 2542
Kubernetes 专题 - 容器运行时之 Docker 与 Containerd 详解,附录包含 Containerd 安装方法、常用命令
容器运行时】一文理解 OCI、runc、containerd、docker、shim进程、cri、kubelet 之间的关系
叮当猫的喵i
03-06 3821
方法 https://github.com/containerd/containerd/blob/v1.4.3/runtime/v2/runc/v2/service.go#L174-L286。结合源码 https://github.com/containerd/containerd/blob/v1.4.3/runtime/v2/shim/shim.go#L221-L229。可以看出,containerd是containerd-shim的父进程,contaienrd-shim是容器进程的父进程。
Kubernetes(k8s)CRI(容器运行时)简介
知道自己不要什么,不管多么大的诱惑(欢迎关注:职谷智享)
04-14 3715
CRI概述 节点的底层由一个叫做“容器运行时”的软件进行支撑,它负责比如启停容器这样的事情。最广为人知的容器运行时当属Docker,但它不是唯一的。事实上,容器运行时这个领域发展迅速。为了使Kubernetes的扩展变得更容易,我们一直在打磨支持容器运行时的K8s插件API:容器运行时接口(Container Runtime Interface, CRI)。 从1.5版本引入CRI接口规范,通过插件接口模式,k8s无需重新编译就可以使用更多的容器运行。CRI包括Protocol Buffers、gRPC
Containerd容器运行时Kubernetes(K8s)环境搭建
weixin_43168190的博客
10-20 1888
在K8s 1.24版本以上不再支持Dockershim,因此很多人想改用containerd作为容器运行时
Kubernetes容器运行时(CRI)简介
karamos的专栏
12-26 3276
Kubernetes节点的底层由一个叫做“容器运行时”的软件进行支撑,它负责比如启停容器这样的事情。最广为人知的容器运行时当属Docker,但它不是唯一的。事实上,容器运行时这个领域发展迅速。为了使Kubernetes的扩展变得更容易,我们一直在打磨支持容器运行时的K8s插件API:容器运行时接口(Container Runtime Interface, CRI)。CRI是什么?每种容器运行时各有...
浅析容器运行时奥秘——OCI标准
腾讯蓝鲸智云官方博客
03-28 7774
导语 容器技术火起来了以后,Docker的容器镜像和容器运行时已然成为行业的标准。此后,为了推进容器生态的健康发展。在Linux基金会的主导下,Docker和各大云厂商Google, Amazon, CloudFoundary, Microsoft积极响应于2016年成立了 “Open Container Initiative”,旨在主导容器的生态发展方向,促进容器生态的健康发展。本文主要介绍容器底层的运行标准OCI的背景和主要内容,最后通过用runC构建容器的示例带你了解容器背后不一样的故事。 背.
springboot docker容器运行时,文件无法上传的解决办法。
海阔天空专栏
07-04 4418
之所以无法上传,是因为docker容器无法访问宿主机的目录造成的,例如我们设置上传文件的保存目录为 cloudmap: myapp: data-dir: /usr/local/myapp 那么需要在Dockerfile文件里面加载这个目录,如下: FROM openjdk:8-jdk-alpine VOLUME /tmp VOLUME /usr/local/myapp ADD...
Docker容器运行
热门推荐
Aaron.无剑
06-11 1万+
主要介绍容器的简单基本相关操作。以及简单的部署nginx网站docker run --name=hello -it centos /bin/bash 输入exit,就退出容器,退出之后容器也就停止了,不会在前台运行了 #docker run运行并创建容器 –name 容器的名字 -i 交互式 -t 分配伪终端 centos:启动docker需要的镜像 /bin/bash说明你的shell类型为bash,bash shell是最常用的一种shell, 是大多数Linux发行版默认的shell。此外还有C s
iSulad是一个轻量级的容器运行时守护进程,专为物联网和云基础设施而设计
05-28
iSulad是一个轻量级的容器运行时守护进程,专为物联网和云基础设施而设计。iSulad是一个由C/C++编写实现的轻量级容器引擎,具有轻、灵、巧、快的特点,不受硬件规格和架构限制,底噪开销更小,可应用的领域更为广泛...
基于liblxc的轻量级容器运行时CLI工具lcr源码设计
09-25
该项目为基于liblxc的轻量级容器运行时CLI工具lcr的设计源码,由C语言编写,包含309个文件,包括209个JSON配置文件、28个头文件、21个C源文件、15个C++源文件、10个文本文件、6个Python脚本、4个INI文件、3个CMake...
46 _ 解读 CRI 与 容器运行时1
08-04
【CRI(Container Runtime Interface)】是Kubernetes为了实现与不同容器运行时的解耦而设计的一套标准接口。它的引入使得Kubernetes可以与多种容器运行时环境(如Docker, containerd, cri-o等)无缝对接,提升了...
K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-10 1万+
🔴 K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
【云原生进阶之容器】第五章容器运行时5.1节--容器运行时总述
junbaozi的专栏
01-16 1152
容器运行时接口(CRI),顾名思义,用来在 Kubernetes 扩展容器运行时,从而用户可以选择自己喜欢的容器引擎。CRI 是基于 gPRC 的,用户不需要关心内部通信逻辑,而只需要实现定义的接口就可以,包括RuntimeService和ImageService: RuntimeService负责管理Pod和容器的生命周期,而ImageService负责镜像的生命周期管理。CRI 的推出为容器社区带来了新的繁荣,cri-o、frakti、cri-containerd 等一系列容器运行时为不同场景而生。
TensorRT-LLM的k8s弹性伸缩部署方案
最新发布
smartcat2010的博客
11-02 518
从Service的triton metrics端口(8002)那里拿到metrics指标(queue time, compute time),计算得到新指标(二者的比率);1. Deployment:跑起来N个pod;指定NVIDIA官方的triton&trt-llm的docker image,指定好model放在哪个volume里;4. HPA(Horizontal Pod Autoscaler,水平扩展):根据Prometheus的指标数值,和预先配置好的阈值,来自动新增pod或减少pod;
Kubernetes(K8s)相关漏洞介绍
weixin_45945976的博客
10-31 599
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
k8s 查看cpu使用率最高的pod
u010674101的专栏
10-31 850
Kubernetes 中,可以使用命令查看 Pod 的资源使用情况,从而找到 CPU 使用率最高的 Pod。
k8s的发展历史
qaz9821的专栏
10-31 727
Kubernetes 的发展历史是一个不断演进的过程,反映了容器技术和云计算的快速变化。作为当今最流行的容器编排平台之一,Kubernetes 通过开放和社区驱动的方式,推动了云原生应用的广泛采用。
深入解析CRI与容器运行时机制
"这篇文章主要解读了CRI(Container Runtime Interface)与容器运行时的关系,以及在Kubernetes架构中的作用。作者通过回顾CRI的引入,解释了如何通过CRIshim实现不同容器运行时Kubernetes的集成。文章提到了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值