容器运维利器:crictl、ctr 和 nerdctl 使用指南与对比分析

已于 2025-05-19 20:35:35 修改
阅读量816 收藏 11
点赞数 28
文章标签: 运维 容器 kubernetes 云原生
于 2025-05-19 18:19:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47491160/article/details/148060766
版权

目录

工具对比表格

ctr​​

​​crictl​​

nerdctl​​

对比总结​​

什么是CRI

容器运行时

​​1. 什么是容器运行时?​​

​​2. 常见的容器运行时及其与 CRI 的关系​​

​​(1) containerd​​

​​(2) CRI-O​​

​​(3) Docker(历史方案,已弃用)​​

​​3. 这些运行时如何运行容器?​​

​​通过 CRI 接口(Kubernetes 场景)​​

​​直接调用(非 Kubernetes 场景)​​

​​4. 关键对比​​

镜像加速

ctr 的调用流程​​

​crictl 的调用流程​

nerdctl 的调用流程​

总结​​

什么是runc?

CRI 的 RuntimeService 和 ImageService​​

谁真正实现了容器生命周期管理?​

容器运行时(如 containerd、CRI-O)​​

runc 的角色​​

完整交互流程(以 Kubernetes 创建容器为例)​

关键分工​​:

总结​​

命名空间

命名空间的核心作用

各工具的命名空间行为

1. ​​ctr

2. ​​crictl​​

3. nerdctl​​

指定命名空间 vs 不指定命名空间

k8s.io 命名空间的特殊性

镜像存储的全局性

总结

ctr常用命令操作

crictl常用命令操作

nerdctl常用命令操作

工具对比表格

以下是 ​​ctr​​、​​crictl​​ 和 ​​nerdctl​​ 三个工具的核心区别、功能场景及使用对比:

工具 开发方 定位
​ctr​ Containerd 官方 Containerd 原生命令行工具,      直接操作 containerd 的底层 API。
​crictl​ Kubernetes 社区 专为 CRI(容器运行时接口)设计的调试工具,兼容所有 CRI 运行时(containerd、CRI-O 等)。
​nerdctl​ Containerd 社区 兼容 Docker CLI 的 Containerd 高级工具,支持更多用户友好功能(类似 Docker)。

ctr​​

​所属项目​​:Containerd
​作用​​:
Containerd 原生的命令行工具,直接操作 Containerd 守护进程,提供对容器、镜像、快照等底层资源的管理。

​核心功能​​:

  • 管理容器生命周期(createstartdelete)。
  • 拉取/推送镜像(pullpush)。
  • 管理快照(snapshot)和命名空间(namespace)。
  • 支持 Containerd 高级功能(如镜像加密、快照挂载)。

​使用场景​​:

  • ​底层调试​​:Containerd 开发或维护时排查问题。
  • ​直接操作 Containerd​​:绕过 Kubernetes 或 Docker,直接管理容器。
  • ​高级功能探索​​:如快照挂载、镜像加密等实验性操作。

​限制​​:

  • 命令语法复杂,用户友好性差(如无自动补全)。
  • 不支持 Docker 兼容命令、网络/卷管理。
  • 需要 root 权限。

​​crictl​

​所属项目​​:Kubernetes 社区(CRI-Tools)
​作用​​:
专为 Kubernetes 节点设计,通过 ​​CRI(Container Runtime Interface)​​ 与容器运行时(如 containerd、CRI-O)交互,用于调试和管理 Kubernetes 集群中的容器和镜像。

​核心功能​​:

  • 查看容器、Pod、镜像的状态(pspodsimages)。
  • 执行容器内命令(exec)、查看日志(logs)。
  • 拉取/删除镜像(pullrmi)。
  • 支持 CRI 兼容的运行时(containerd、CRI-O)。

​使用场景​​:

  • ​Kubernetes 运维​​:在 Kubernetes 节点上调试容器问题(如 Pod 无法启动、容器崩溃)。
  • ​兼容性检查​​:验证容器运行时是否符合 CRI 标准。
  • ​轻量级操作​​:不需要完整容器引擎(如 Docker)时的简单操作。

​限制​​:

  • 不支持镜像构建、网络/卷管理等高级功能。
  • 命令格式与 Docker 差异较大,需适应。

nerdctl​

​所属项目​​:Containerd 社区(子项目)
​作用​​:
提供 ​​Docker-like 体验​​ 的命令行工具,直接集成 Containerd,支持大部分 Docker CLI 命令,同时扩展了 Containerd 的高级功能(如 rootless 容器、延迟挂载)。

​核心功能​​:

  • 完整的容器生命周期管理(runexecrm)。
  • 镜像构建(build,依赖 BuildKit)。
  • 网络管理(自定义 CNI 网络)、卷管理。
  • 兼容 Docker Compose(nerdctl compose)。
  • 支持 rootless 容器(无需 root 权限)。

​使用场景​​:

  • ​替代 Docker​​:在个人开发环境或 CI/CD 中替代 Docker CLI。
  • ​Containerd 高级功能​​:使用 rootless 容器、延迟挂载等特性。
  • ​兼容性需求​​:需要同时操作 Docker 和 Containerd 的场景。

​限制​​:

  • 依赖 Containerd 环境,需额外配置网络插件(如 CNI)。
  • 社区生态较 Docker 小,部分插件可能不兼容。

对比总结​

​特性​ ​crictl​ ​ctr​ ​nerdctl​
​目标用户​ Kubernetes 运维人员 Containerd 开发者/管理员 开发者/替代 Docker 的用户
​核心定位​ CRI 调试工具 Containerd 原生管理工具 Docker-like 用户体验
​镜像构建​ ❌ 不支持 ❌ 不支持 ✅ 支持(需 BuildKit)
​网络/卷管理​ ❌ 仅查看基础状态 ❌ 不支持 ✅ 支持(CNI 插件)
​rootless 容器​ ❌ 不支持 ❌ 不支持 ✅ 支持
​Kubernetes 集成​ ✅ 直接集成 ❌ 需手动配置 ❌ 需额外工具(如 k3s)
​使用复杂度​ 中等(需适应 CRI 语法) 高(底层操作) 低(类似 Docker)

什么是CRI

CRI(​​Container Runtime Interface​​,容器运行时接口)是 Kubernetes 为了解耦自身与底层容器运行时(如 Docker、containerd、CRI-O 等)而设计的一个​​标准化接口​​。它的核心作用是让 Kubernetes 能够灵活支持不同的容器运行时,而无需修改自身代码。

​CRI 的核心概念​

  1. ​接口规范​​:

    • CRI 定义了一组 ​​gRPC API​​,分为两类:
      • ​RuntimeService​​:管理容器的生命周期(创建/启动/停止/删除容器)。
      • ​ImageService​​:管理镜像的拉取、删除等操作。
    • 任何实现了 CRI 接口的容器运行时都可以与 Kubernetes 集成。

  2. ​Kubernetes 与容器运行时的桥梁​​:

    • Kubernetes 的 kubelet 组件通过 CRI 与容器运行时通信(例如:创建 Pod 时,kubelet 通过 CRI 向容器运行时发送“创建容器”的指令)。
    • 容器运行时(如 containerd、CRI-O)必须实现 CRI 接口才能
最低0.47元/天 解锁文章
华为云原生之KubeEdge深度使用体验Kubeflow应用开发实践
╰つ栺尖篴夢ゞ
05-12 5554
KubeEdge是一个开源的系统,可将本机容器化应用编排管理扩展到边缘端设备。它是基于Kubernetes的构建,为网络应用程序提供核心基础架构支持,并在云端边缘端部署应用,同步元数据。那么,如何升级部署KubeEdge?如何配置CloudCoreEdgeCore?如何使用KubeflowVolcano实现典型的AI训练任务?带着这些问题,我们一起去一探究竟,玩转KubeEdge!!!
python数据可视化工具测评
2401_85979589的博客
07-15 599
KubeEdge 是一个开源的系统,可将本机容器化应用编排管理扩展到边缘端设备python语法错误撤回方法,python语法错误怎么解决。它基于 Kubernetes 构建,为网络应用程序提供核心基础架构支持,并在云端边缘端部署应用,同步元数据python自动化运维库。KubeEdge 还支持 MQTT 协议,允许开发人员编写客户逻辑,并在边缘端启用设备通信的资源约束。
探索nsupdate:动态DNS更新的终极指南
言之。
05-20 430
`nsupdate` 是一个非常强大的命令行工具,用于向 DNS 服务器提交**动态 DNS (DDNS) 更新**。它允许你以编程方式或手动方式添加、删除或修改 DNS 区域文件中的资源记录 (RR),而无需手动编辑区域文件并重新加载区域。
Serverless 应用的运维:监控、日志问题排查
weixin_42587823的博客
05-17 993
经过前面的学习实践,代码跑起来了,API 也能访问了,是不是感觉可以高枕无忧了?等等!一个常见的误解是 Serverless 等于 “NoOps” (无运维)。实际上,这并非完全正确。虽然你摆脱了繁琐的服务器管理(打补丁、扩容、监控 CPU/内存使用率等),但应用的健康运行、性能优化、问题排查等。我们通常称之为 “LessOps” (更少运维) 或者 “DifferentOps” (不同的运维)。在 Serverless 世界里,运维的重心从转向了。
操作系统-对空闲磁盘块的管理
一寸一寸光阴
05-17 1062
记录一下,但是记录了我会会吗。。。。。。。。。
day 23
2403_89660238的博客
05-16 195
Workstation Pro 可根据需要创建虚拟交换机,最多能在 Windows 主机系统上创建 20 个虚拟交换机,您可以 将任意数量的虚拟网络设备连接到 Windows 主机系统的虚拟交换机。仅主机模式: ip地址可以通过vmnetdhcp服务自动分配,网段也可以自己指定 可以自己手动配置一个vmnet1网卡在同一个网段的地址不能上网。如果有线网卡或者无线网卡所在网段地址能够上网,那么获得该ip的虚拟机也可以上网。如果有线网卡或者无线网卡能够上网,该模式下的网卡也能够上网;
Mysql面经
NovakG_的博客
05-20 1066
Mysql 八股文面经
【Auto-dl ssh隧道,TensorBoard】
weixin_52881828的博客
05-20 177
本文介绍了如何通过Auto-dl SSH隧道使用TensorBoard的步骤。首先,用户需要点击自定义服务并下载Autodl-ssh-tools。接着,运行该工具并填入SSH指令密码,启动代理。然后,在Auto-dl终端中找到.tevent文件所在的目录路径,并输入TensorBoard启动命令。最后,通过访问http://127.0.0.1:6006/即可成功使用TensorBoard。整个过程简单明了,适合需要远程监控深度学习训练过程的用户。
H3C UIS 超融合管理平台原理解读以及日常运维实操故障处理
weixin_66855479的博客
05-17 771
前言:超融合(Hyper-Converged Infrastructure, HCI)是将计算、存储、网络虚拟化资源整合到统一硬件平台中,并通过软件定义技术实现资源池化灵活管理的架构。H3C(新华三)华为作为国内领先的ICT厂商,其超融合平台在技术实现上既有共性,也有各自的产品特性。以下从通用原理两家厂商的具体实现展开分析,并加入“全无损超融合架构”的相关内容。
指令烧录ORIN NANO操作系统
最新发布
weixin_42564775的博客
05-20 234
本文介绍了在ORIN NANO 4GB版本模组上使用Ubuntu 18.04虚拟机进行系统烧录的步骤。首先,从NVIDIA官网下载所需的BSP包文件系统,并将其拷贝到虚拟机中。接着,通过终端指令解压这些文件。在烧录系统前,需将单板进入恢复模式,并修改相关配置文件。随后,执行一系列指令进行系统烧录,过程中需注意虚拟机提示,特别是在USB重新连接时选择连接虚拟机。官方建议直接使用Ubuntu操作系统的机器进行烧录,而非虚拟机。
SQL注入—详解(4)【DNSLog注入】
2402_84408069的博客
05-19 868
DNSLog注入是一种利用DNS协议进行信息外泄的攻击技术,通过构造特殊的DNS查询请求,将敏感数据嵌入到域名查询中,使攻击者能够通过监控DNS日志来获取这些数据。其工作原理是利用数据库的load_file()函数读取远程文件,并通过DNS解析记录获取敏感信息。攻击场景包括显错注入盲注,前提条件是数据库具有root权限、可读写权限,且目标系统为Windows。防御措施包括输入验证过滤、网络层防护、系统加固、监控检测以及安全开发实践。通过实施这些措施,可以有效降低DNSLog注入的风险。
配电房值守难题终结者:EdgeView智能监控的7×24小时守护
CET_ELECTRIC的博客
05-19 276
在电力行业数字化转型的背景下,开关柜设备的质量运行状态对电网安全至关重要。然而,传统开关柜在调试、运维中面临标准不统一、故障处理时间长等挑战。CET中电技术推出的EdgeView智能开关柜监控解决方案,通过集成保护测控、电能质量监测等终端设备,结合边缘可视化APP,提供一站式智能监控服务,显著提升运维效率。该方案支持就地可视化智能决策,实现设备集中监控本地化数据处理,减少对云端的依赖。同时,通过图形化组态编辑器丰富的通讯协议,简化调试流程,支持远程运维。此外,方案采用国产软硬件平台,确保数据安全
昇腾NPU环境搭建
weixin_43317658的博客
05-16 700
如果进入服务器输入可以看到npu情况,请直接跳转第三步。
nginx实现http的缓存协商缓存
ysj_121的博客
05-19 133
if_modified_since:浏览器缓存记录的该文件的最后服务器修改时间。http通过判断资源是否被修改来判断是否使用缓存。// 默认是开启的。Cache-Control:配置缓存的细则。
docker部署第一个Go项目
u012941592的博客
05-17 274
本文介绍了如何通过Docker构建优化Go Web应用的镜像。首先,通过编写Dockerfile,使用基础镜像golang:1.23.0,设置工作目录,拷贝项目文件并下载依赖,编译生成可执行文件。随后,通过docker build命令构建镜像,并启动容器。接着,针对镜像过大的问题,引入了多阶段构建技术,使用golang:1.23.0-alpine作为编译阶段镜像,alpine:latest作为运行阶段镜像,从而显著减小镜像体积。最终,通过多阶段构建实现了高效的镜像优化。
springboot 之 指定额外资源加载路径
enjoy.day
05-20 88
使用-Xbootclasspath/a:
定期更新Let‘s Encrypt SSL证书遇到的问题
qq_42144047的博客
05-18 325
Let’s Encrypt安装的SSL证书有90天的有效期,接近过期时需要更新证书,可以通过配置定时任务的方式更新证书,由于我们使用的是–manual方式配置的DNS TXT记录,所以到期后通过。,进到自己的域名内部,更新 _acme-challenge.your.domain.url 中的TXT配置的记录值即可。更新SSL证书并没有生效,在排查问题的过程中发现有坑,于是再总结一下遇到的问题,给有需要的兄弟参考。以下实操环境:CentOS 7.9 + Nginx,使用的是云服务器。
python 提交命令到远程windows服务器调用脚本 并获取进程id
计算机辅助工程
05-20 179
Start-Process是PowerShell中用于启动进程的命令,-PassThru参数确保返回进程对象,Select-Object Id从返回的进程对象中提取进程ID。要在Python中向远程Windows服务器提交命令并调用脚本,同时获取进程ID,你可以使用多种方法,但最常见强大的方法是使用paramiko库,这是一个用于进行SSHv2协议连接的Python库。读取输出:通过stdout.read()stderr.read()读取命令的输出错误信息。根据你的具体需求调整命令参数。
六、磁盘划分磁盘配额
qq_46633423的博客
05-17 816
磁盘是一种数据存储设备,用于保存检索数字数据。它通过一个或多个旋转的圆盘(磁性或光学的)来存储数据,数据通过磁头(在磁性磁盘中)或光头(在光学磁盘中)进行读写。磁盘可以是可移动的或固定在计算机内部的,并且根据存储技术的不同,磁盘可以分为几种类型:硬盘驱动器(HDD)硬盘驱动器使用磁性存储来记录存储数据。它们包含一个或多个旋转盘片,这些盘片被涂有磁性材料,并通过移动磁头来读写数据。硬盘驱动器以其较大的存储容量较低的成本而闻名,但固态驱动器(SSD)相比,它们的访问速度较慢。
Kubernetes Crictl 1.20.0发布:操作Containerd容器利器
一旦配置正确,Crictl就可以通过Containerd运行在集群节点上的Pods容器进行交互。 ### 结语 总的来说,Kubernetes Crictl 1.20.0安装包提供了操作管理容器的强大工具,特别是当Containerd配合使用时。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小杨同学THY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值