docker查看正在运行的容器_干货 | 容器运行时从docker到containerd的迁移

最新推荐文章于 2024-06-20 13:48:21 发布
最新推荐文章于 2024-06-20 13:48:21 发布
阅读量404 收藏 2
点赞数
文章标签: docker查看正在运行的容器 docker退出容器保持运行

11730023a348c305e618e055ac880a27.png

供稿 | eBay Infrastructure Engineering 苏菲

翻译&编辑 | 顾欣怡

本文2634字,预计阅读时间8分钟

更多干货请关注“eBay技术荟”公众号

104ae22c1a4a8aa7561d070efd6526e0.gif

导读

目前,docker是kubernetes默认的容器运行时(Container Runtime)。由于docker过于复杂,操作不便,eBay将容器运行时从docker迁移到containerd,并将存储驱动程序Device Mapper换成Overlayfs。尽管在迁移过程中,我们遇到了不少挑战,但都一一克服并最终完成了此次迁移。

d6cc46e6ceefceaa912b8ae6fa5240ab.gif

容器运行时(Container Runtime),运行于kubernetes(k8s)集群的每个节点中,负责容器的整个生命周期。其中docker是目前应用最广的。随着容器云的发展,越来越多的容器运行时涌现。为了解决这些容器运行时和k8s的集成问题,在k8s 1.5版本中,社区推出了CRI(Container Runtime Interface, 容器运行时接口)(如图1所示),以支持更多的容器运行时。

Kubelet通过CRI和容器运行时进行通信,使得容器运行时能够像插件一样单独运行。可以说每个容器运行时都有自己的优势,这就允许用户更容易选择和替换自己的容器运行时。

025e654bd572bac54d8265199a5f6fbe.png

图1 CRI在kubernetes中的位置

一、CRI & OCI

d6cc46e6ceefceaa912b8ae6fa5240ab.gif

CRI是kubernetes定义的一组gRPC服务。Kubelet作为客户端,基于gRPC框架,通过Socket和容器运行时通信。它包括两类服务:镜像服务(Image Service)和运行时服务(Runtime Service)。镜像服务提供下载、检查和删除镜像的远程程序调用。运行时服务包含用于管理容器生命周期,以及与容器交互的调用(exec / attach / port-forward)的远程程序调用。

如图2所示,dockershim, containerd 和cri-o都是遵循CRI的容器运行时,我们称他们为高层级运行时(High-level Runtime)

2535525daf8dc53d3bfe9f9b5c76e27d.png

图2 常用的运行时举例

OCI(Open Container Initiative,开放容器计划)定义了创建容器的格式和运行时的开源行业标准,包括镜像规范(Image Specification)和运行时规范(Runtime Specification)。

镜像规范定义了OCI 镜像的标准。如图2所示,高层级运行时将会下载一个OCI 镜像,并把它解压成OCI 运行时文件系统包(filesystem bundle)。

运行时规范则描述了如何从OCI 运行时文件系统包运行容器程序,并且定义它的配置、运行环境和生命周期。如何为新容器设置命名空间(namepsaces)控制组(cgroups),以及挂载根文件系统等等操作,都是在这里定义的。它的一个参考实现是runC。我们称其为低层级运行时(Low-level Runtime)。除runC以外,也有很多其他的运行时遵循OCI标准,例如kata-runtime。

104ae22c1a4a8aa7561d070efd6526e0.gif

二、Containerd vs Cri-o

目前docker仍是kubernetes默认的容器运行时。那为什么会选择换掉docker呢?主要的原因是它的复杂性。

如图3所示,我们总结了docker, containerd以及cri-o的详细调用层级。Docker的多层封装和调用,导致其在可维护性上略逊一筹,增加了线上问题的定位难度(貌似除了重启docker,我们就毫无他法了)。Containerd和cri-o的方案比起docker简洁很多。因此我们更偏向于选用更加简单和纯粹的containerd和cri-o作为我们的容器运行时。

0812d4baa9165582c4080d49aa223b32.png

图3 容器运行时调用层级

我们对containerd和cri-o进行了一组性能测试,包括创建、启动、停止和删除容器,以比较它们所耗的时间。如图4所示,containerd在各个方面都表现良好,除了启动容器这项。从总用时来看,containerd的用时还是要比cri-o要短的。

faaa2a7054fb29fa9915ca9fd58bbf05.png

图4 containerd和crio的性能比较

如图5所示,从功能性来讲,containerd和cri-o都符合CRI和OCI的标准。从稳定性来说,单独使用containerd和cri-o都没有足够的生产环境经验。但庆幸的是,containerd一直在docker里使用,而docker的生产环境经验可以说比较充足。可见在稳定性上containerd略胜一筹。所以我们最终选用了containerd。

a91109cf61e01d821580e13aebe70fb1.png

图5 containerd和cri-o的综合比较

104ae22c1a4a8aa7561d070efd6526e0.gif

三、Device Mapper vs. Overlayfs

容器运行时使用存储驱动程序(storage driver)来管理镜像和容器的数据。目前我们生产环境选用的是Device Mapper。然而目前Device Mapper在新版本的docker中已经被弃用,containerd也放弃对Device Mapper的支持。

当初选用Device Mapper,也是有历史原因的。我们大概是在2014年开始k8s这个项目的。那时候Overlayfs都还没合进kernel。当时我们评估了docker支持的存储驱动程序,发现Device Mapper是最稳定的。所以我们选用了Device Mapper。但是实际使用下来,由Device Mapper引起的docker问题也不少。所以我们也借这个契机把Device Mapper给换掉,换成现在containerd和docker都默认的Overlayfs。

从图6的测试结果来看,Overlayfs的IO性能比Device Mapper好很多。Overlayfs的IOPS大体上能比Device Mapper高20%,和直接操作主机路径差不多。

310ed8ea344eb29584503587270df586.png

图6 后端存储文件系统性能比较

四、迁移方案

4255fb08df72c2bfd9e019584c58cfbf.gif

最终,我们选用了containerd,并以Overlayfs作为存储后端的文件系统,替换了原有的docker加Device Mapper的搭配。那迁移前后的性能是否得到提升呢?我们在同一个节点上同时起10,30,50和80的pod,然后再同时删除,去比较迁移前后创建和删除的用时。从图7和图8可知,containerd用时明显优于docker。

0df68ce9bb685a3b39384815a77ac199.png

图7 创建pod的用时比较

d960afd6a2600ecb69f4cf6bd4af94cc.png

图8 删除pod的用时比较

五、迁移挑战

d6cc46e6ceefceaa912b8ae6fa5240ab.gif

从docker+Device Mapper到containerd+ Overlayfs,容器运行时的迁移并非易事。这个过程中需要删除Device Mapper的thin_pool,全部重新下载用户的容器镜像,全新重建用户的容器。

如图9所示,迁移过程看似简单,但是这对于已运行了5年且拥有100K+光怪陆离的应用程序的集群而言,如何将用户的影响降到最低才是最难的。Containerd在我们生产环境中是否会出现“重大”问题也未可知。

39d78d53081868eb81b2cd53362e2c87.png

图9 具体的迁移步骤

针对这些挑战,我们也从下面几个方面做出了优化,来保证我们迁移过程的顺利进行。

01

多样的迁移策略

最基本的是以容错域(Fault Domain, fd)为单元迁移。针对我们集群,是以rack(机架)为单元(rack by rack)迁移。针对云原生(cloud-native)且跨容错域部署的应用程序,此升级策略最为安全有效。针对非云原生的应用程序,我们根据其特性和部署拓扑,定制了专属他们的升级策略,例如针对Cassini的集群,我们采用了jenga(层层叠)的升级策略,保证应用程序0宕机。

02

自动化的迁移过程

以rack by rack的策略为例,需要等到一个rack迁移完成以后且客户应用程序恢复到迁移前的状态,才能进行下一个rack的迁移。因此我们对迁移控制器(Controller)进行了加强,利用控制平面(Control Plane)监控指标(Metrics)数据平面(Data Plane, 即应用程序)告警(Alerts),实现典型问题的自动干预和修复功能,详见图10。如果问题不能被修复,错误率达到阈值,迁移才会被暂停。对于大集群,实现了人为的0干预。

dc6334edf364e79482383d48d4e71ff7.png

图10 自动化迁移流程

03

高可用的镜像仓库

一个rack共有76台机器。假设每个机器上只有50个pod,就可能最多有3800个镜像需要下载。这对镜像仓库的压力是非常大的。除了使用本地仓库,这次迁移过程中还使用了基于gossip协议的镜像本地缓存的功能,来减少远端服务端的压力,具体参见图11。

757f92707c2b064ab41cd2013177ce12.png

图11 镜像仓库架构

04

可逆的迁移过程

虽然我们对containerd的问题修复是有信心的,但是毕竟缺少生产环境经验,得做好随时回退的准备。一旦发现迁移后,存在极大程度影响集群的可靠性和可用性的问题,我们就要换回docker。虽然迁移后,在线上的确发现了镜像不能成功下载,容器不能启动和删除等问题,但是我们都找到了根本原因,并修复。所以令人庆幸的是,这个回退方法并未发挥其作用。

104ae22c1a4a8aa7561d070efd6526e0.gif

六、用户体验

容器运行时是kubernetes的后端服务。容器运行时的迁移不会改变任何的用户体验。但是有一个Overlayfs的问题需要特别说明一下。如果容器的基础镜像(Base Image)centos6,利用Dockerfile去创建镜像时,如果用yum去安装包,或者在运行的centos6容器中用yum安装包的,会报以下错误:

e6c104d30da8a7af06c9de0158ad2ab7.png

因为yum在安装包的过程中,会先以只读模,然后再以写模式去打开rmpdb文件。

c67feece5bb5b5856693428747f7a22c.png

如图12所示,对于Overlayfs来说,以只读模式打开一个文件的话,文件直接在下层(lower layer)被打开,我们得到一个fd1。当我们再以写模式打开,就会触发一个copy_up。rmpdb就会拷贝到上层(upper layer)。文件就会在上层打开得到fd2。这两个fd本来是想打开同一个文件,事实却并非如此。

f38b13e6a370fb9860ce2646f4ae7289.png

图12

ea0cd39e357c0ac9ea2fde8119c64d96.png

图13

解决方案就是在执行yum命令之前先装一个yum-plugin-ovl插件。这个插件就是去做一个初始的copy_up,如图13所示。将rpmdb先拷贝到上层,参考Dockerfile如下:

6361c26a096c9dd741fb5b91f07fb084.png

如果基础镜像是centos7,则没有这个问题,因为centos7的基础镜像已经有这个规避方法了。

七、总结

d6cc46e6ceefceaa912b8ae6fa5240ab.gif

目前我们50个集群,20K+的节点已经全部迁到containerd,历时2个月(非执行时间)。从目前情况来看,还比较稳定。虽然迁移过程中也出了不少问题,但经过各个小组的不懈努力,此次迁移终于顺利完成了。

93cb67c6ac289af03615e634de8ad704.png

↓点击

 eBay大量优质职位,等的就是你!

weixin_39576336
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
migrate-to-containerd:从Docker迁移容器
04-19
Docker迁移容器化课程站点 该站点包括从Docker迁移容器类的实验室。 实验室虚拟机 讲师将提供实验室VM表。 实验室 第一天 实验1: 实验2:实验3: 实验4:在
docker容器运行后退出(怎么才能一直运行)
09-30
如果需要与运行容器进行交互,可以使用`docker attach [CONTAINER_NAME or CONTAINER_ID]`。退出容器时,用`[ctrl + D]`会终止容器的主进程并关闭容器,而`[ctrl + P][ctrl + Q]`则可以在不终止容器的情况下...
Kubernetes节点运行时从Docker切换到Containerd
为梦想奋斗
03-08 764
由于k8s将于1.24版本弃用dockershim,所以最近在升级前把本地的k8s切换到了Containerd运行时,目前我的k8s版本是1.22.5,一个master,二个Node的配置,以下做为一个操作记录日志整理,其它可以参考官网文档。
kubernetes环境从docker迁移containerd
weixin_45081220的博客
06-08 270
本实验共两台节点,vms61是master,vms62是worker kubernetes版本是v1.23.2 系统版本是 centos7.4 具体如下: 上面运行了一个测试用的deploy,有两个副本。 2.迁移master 1.先对master(vms61)执行drain操作。 2.关闭并卸载docker 卸载docker 3.安装并配置containerd 在vms61上安装containerd 步骤1:先生成配置文件/etc/containerd/config.toml。 步骤2:使用vim编
kubernetes 1.23.2 环境从docker迁移containerd
老段工作室
06-08 571
kubernetes 1.23.2 环境从docker迁移containerd
如何给一个运行Docker容器动态添加Volume
01-10
简单来说,要想将磁盘卷挂载到运行容器上,我们需要: 使用nsenter将包含这个磁盘卷的整个文件系统mount到临时挂载点上; 从我们想当作磁盘卷使用的特定文件夹中创建绑定挂载(bind mount)到这个磁盘卷的...
详解docker 容器不自动退出结束运行的方法
01-10
本文主要简单介绍 docker 容器与前置进程的关系,以及如何编写 Dockerfile/docker-compose.yml 优雅的让容器可以常驻运行docker 容器的生命周期是同容器中的前置进程相关在一起的,这也是我们平时可能会遇到一些...
Docker容器运行nginx
01-11
nginx简介 ...与旧版本(<=2.2)的Apache不同,nginx不采用每客户机一线程的设计模型,而是充分使用异步逻辑,削减了上下文调度开销,所以并发服务能力更强。整体采用模块化设计,有丰富的模块库和第三方模块...docker
Docker切换Containerd
会哭的雨@的博客
11-15 1707
1.节点disable kubectl cordon node-host-name 2. 操作系统 开启cgroupv2 cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf overlay br_netfilter EOF sudo modprobe overlay sudo modprobe br_netfilter # 设置必需.
Kubernetes runtime从docker迁移containerd探索
Dou_Hua_Hua的博客
11-25 576
01 前言 Kubernetes(以下简称k8s)宣布在1.20版本之后将弃用docker作为容器运行时,在2021年末发布的1.23版本中将彻底移除dockershim组件。Dockershim是kubelet内置的一个组件,功能是使k8s能够通过CRI(Container Runtime Interface)操作docker。一旦docker 有任何的功能特性变更,dockershim 代码必须加以改动来保证能够继续和docker通信。另外,docker的底层运行时是containerd,而contai
再见 Docker !分分钟转型 Containerd
民工哥的博客
06-15 2414
点击下方公众号「关注」和「星标」回复“1024”获取独家整理的学习资料!Kubernetes 官方发布公告,宣布自 v1.20 起放弃对 Docker 的支持。目前,Kubelet 中的 ...
再见 Docker!5分钟转型 containerd
ChaITSimpleLove的博客
08-11 225
Docker 作为非常流行的容器技术,之前经常有文章说它被 K8S 弃用了,取而代之的是另一种容器技术 containerd!其实 containerd 只是从 Docker 中分离出来的底层容器运行时,使用起来和 Docker 并没有啥区别,本文主要介绍下 containerd 的使用,希望对大家有所帮助! containerd 简介 containerd 是一个工业级标准的容器运行时,它强调简单性、健壮性和可移植性。 containerd 可以在宿主机中管理完整的容器生命周期,包括容器镜像的传输和.
如何丝滑般将 Kubernetes 容器运行时从 Docker 切换成 Containerd
DevOps持续集成的博客
08-18 950
前面我们了解了 containerd 的发展历史和基本使用方式,本节我们就来尝试下使用 containerd 来作为 Kubernetes 集群的容器运行时。前面我们安装的集群默认使用的是...
深入Docker容器运行时(一)
xialingming的博客
05-12 2692
Docker容器运行时(一) 你也许对Docker命令很熟悉,但是你最好还是阅读下本文。 Docker 用的有多普及本文就不赘述了。今天只谈docker,不谈OCI,不谈CRI,不谈kubelet。由简入深。 1. 背景 自从 2013 年 docker 发布之后,docker 项目逐渐成为了一个庞然大物。为了能够降低项目维护的成本,内部代码能够回馈社区,他们于 2014 年开源了 libcontainer,docker 公司将 libcontainer 的实现移动到 runC 并捐赠给了 OCI。在 20
CRI-O, Containerd, Docker, Postman等概念介绍
justlpf的专栏
02-27 2167
1 容器的主要标准:OCI) ,定义容器和镜像的标准CRI),它定义了Kubernetes和下面的容器运行时之间的API。OCIOCI (Open Container Initiative),是一个轻量级,开放的治理结构(项目)。在 Linux 基金会的支持下成立,致力于围绕容器格式和运行时创建开放的行业标准。
云原生Kubernetes:K8S集群实现容器运行迁移(dockercontainerd) 与 版本升级(v1.23.14 → v1.24.1)
cronaldo91的博客
12-26 2998
搭建K8S集群的方式有很多种,比如二进制,kubeadm,RKE(Rancher)等,K8S集群升级方式也各有千秋,目前准备使用kubeadm方式搭建的k8s集群升级方法。需要注意的是,升级集群版本建议逐步升级,比如v1.21.1–>v1.22.1–>v1.23.1–>v1.24.1,不能跨度过大,否则会报错。⑦ ​​​​​​​​​​​​​​​​​​​​​第三步:搜索SystemdCgroup,并修改。​​​​​​​(7)对master2节点进行uncordon。
k8s中 dockercontainerd 镜像相互导入导出
最新发布
xiaogg3678的专栏
06-20 635
k8s中 dockercontainerd 镜像相互导入导出
docker开启两个MySQL容器_Docker运行两个Mysql5.7容器
06-12
可以通过以下步骤在Docker运行两个MySQL5.7容器: 1. 首先,使用Docker命令行创建第一个MySQL5.7容器,可以使用以下命令: ``` docker run --name=mysql1 -p 3306:3306 -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:5.7 ``` 其中,`--name`指定容器名称,`-p`指定容器端口与主机端口的映射,`-e`指定MySQL的root密码,`-d`表示以守护进程方式运行容器。 2. 创建第二个MySQL5.7容器,可以使用以下命令: ``` docker run --name=mysql2 -p 3307:3306 -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:5.7 ``` 注意,这里的端口映射需要指定不同的主机端口,例如这里将容器端口3306映射到主机端口3307。 3. 接下来,使用以下命令进入第一个MySQL容器: ``` docker exec -it mysql1 bash ``` 在容器中,可以使用MySQL客户端连接到MySQL服务器: ``` mysql -u root -p ``` 输入密码后,就可以连接到MySQL服务器了。 4. 同样地,使用以下命令进入第二个MySQL容器: ``` docker exec -it mysql2 bash ``` 在容器中,同样可以使用MySQL客户端连接到MySQL服务器: ``` mysql -u root -p ``` 输入密码后,就可以连接到第二个MySQL服务器了。 这样,就可以在Docker下同时运行两个MySQL5.7容器了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值