一口气搞清楚K8S的CRI接口(以及Docker、containerd、cri-o)

最新推荐文章于 2025-03-09 21:16:56 发布
最新推荐文章于 2025-03-09 21:16:56 发布
阅读量1.6k 收藏 20
点赞数 32
文章标签: kubernetes 容器 云原生 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74867108/article/details/144858978
版权

        在理解CRI之前我们回顾一下docker的运行流程,才能明白为什么k8s要引入CRI。

Docker

        我们可以发现其实docker就是通过containerd创建容器的,当执行 docker run 时,Docker 守护进程并不会直接创建容器,而是通过 containerd 来管理容器的生命周期。而 containerd 本身也不会直接创建容器,而是通过其内置组件 containerd-shim 调用 runc 来实际创建和运行容器。为什么要搞这么复杂呢?这种设计是为了解决实际问题和满足现代容器化技术的需求。首先将各个部分分离出来,模块化设计,每一个模块仅需专注自己的事情,如docker只需要专注于与用户交互,实现其高级功能,containerd只需要负责负责容器的生命周期管理,而containerd-shim则是将containerd与runC容器运行时隔离起来,确保即使容器运行时崩溃,也不会影响 containerd 的稳定性,同时增加可拓展性,因为可以通过更换containerd-shim和runC切换不同的容器运行时,如谷歌的gVisor或者蚂蚁的kata container。

CRI

        了解了docker后再来看看什么是CRI, Kubernetes 在 2016 年标准化接口CRI,k8s1.5之前k8s直接调用docker daemon创建容器,Kubernetes 的代码与 Docker 紧密耦合,难以支持其他容器运行时。在这之后只要你的容器实现了CRI就可以与k8s交互,就可以被k8s调度。但是理想很丰满现实很骨感,那时docker如日中天,k8s还相对没那么出名,所以k8s官方自己维护了一个叫做docker-shim的组件,来实现docker与k8s的交互。时过境迁后来k8s也爆火了,所以在2020年k8s就提出停止维护dokcer-shim,所以在1.20.x版本后就默认没有docker-shim,在1.21.x~1.23.x需要你手动安装docker-shim,从1.24.x起完全移除docker-shim。那是不是在这之后不能再用doker呢?并不是的docker的母公司为适配k8s,自行维护了一个插件cri-dockerd(https://github.com/Mirantis/cri-dockerd.git)如果你想用docker还是可以的。那为什么k8s官方还是推荐使用containerd作为容器呢?

1.20.x之前(包括1.20.x)自带docker-shim
1.21.x~1.23.x需手动安装docker-shim
1.24.x后需手动安装cri-dockerd

containerd

        接下来让我们再看看containerd,其实containerd就是docker团队开发的,并于2017年开源同年又捐给云原生基金会CNCF(有人说是docker发现自家的容器编排工具swarm打不过k8s,为扩大影响力而断臂求生,与k8s同属一个基金会)。上文搞清楚docker运行流程后,我们发现其实k8s直接管理containerd不就好了吗,根本不需要多此一举的管理docker,所以2017年cri-containerd就诞生了,他就是联系CRI和containerd的桥梁,在诞生之初它是作为一个项目单独维护,而在2019年containerd1.2.x版本后containerd原生支持cri,被当作一个插件直接内置到containerd主进程中。

那么我们现在搞清楚了dokcer和containerd以及CRI间的关系,如下:

cri-o

        但是这个流程还可以简化如上图出现的cri-o,因为即使新版本的containerd内置插件来支持cri但是还是不够轻量,所以cri-c孕育而生。它是由Red Hat主导开发专门为k8s的cri设计完全符合cri 规范的容器运行时且符合OCI,它更加轻量级减少了不必要的开销。以下是chatgpt给出的对比

 总结

  • CRI 的作用:解耦 Kubernetes 和容器运行时,支持多种容器运行时。

  • containerd:由 Docker 团队开发,原生支持 CRI,功能全面。

  • CRI-O:专为 Kubernetes 设计,更加轻量级,符合 CRI 和 OCI 规范。

  • dockershim 的演变:Kubernetes 逐渐移除对 Docker 的直接支持,推荐使用 containerd 或 CRI-O

hala152
关注
kubernetes】通过外置CRI-DOCKER建立起新版K8sDocker间的桥梁
cnskylee的博客
01-30 4827
kubernetes 从1.24版本开始,正式移除了内置的dockershim组件,这个组件是kubernetes官方开发维护的一个容器运行时接口组件(即Container Runtime Interface),CRI的作用主要有两方便,一个是镜像的操作,如:下载、删除等,另一方面是对于容器的操作,包括容器的创建、停止删除等。dockershim被移除后,意味着需要使用第三方的dockershim组件,如:cri-dockercontainerd,才能继续在k8s集群中使用docker
K8sDockerContainerdDocker and Containerd in K8s
Linux运维老纪的博客
11-23 2022
主流的容器运行时有 DockerContainerd 等。Docker 是早期最流行的容器运行时,而 Containerd 最早是 Docker 的组件之一。本文将对 DockerContainerd 的关系、选择等内容进行详细解读。
kubeadm安装k8s-1.28(cri-docker作为运行时)
stanluoyuxin的博客
03-27 3037
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。
K8S 集群搭建——cri-dockerd版
2401_83342251的博客
03-09 1710
openEuler 系统在跟换源后需要将/etc/yum.repos.d/kubernetes.repo 中的$release 跟换成 8。机器:3台机器【一台master(集群的控制平面,负责集群的决策/管理),两台node机器(集群的数据平面,负责为容器提供运行环境)】15行:criSocket: unix:///var/run/cri-dockerd.sock。永久关闭:sed -i 's/.*swap.*/#&/' /etc/fstab。然后重载 ==> 开机自启 ==> 检查组件状态。
为什么以及如何从命令行使用 containerd
u012516914的专栏
10-19 612
containerd 是一个高级容器运行时,又名 容器管理器。简单来说,它是一个守护进程,在单个主机上管理完整的容器生命周期:创建、启动、停止容器、拉取存储镜像、配置挂载、网络等。con...
云原生 一】 CRI、OCI、containerdCRI-O、runc
刘元林的博客
07-29 2317
讨论CRI、OCI、containerdCRI-O、runc,其实就是一个概念问题,看图更易理解含义,所以先上两张图。 /usr/bin/containerd-shim-runc-v2:containerd-shim启动后会去启动/usr/bin/containerd-shim-runc-v2,然后立即退出,此时containerd-shim-runc-v2的父进程就变成了systemd(1),这样containerd-shim-runc-v2就containerd脱离了关系,即便containerd退
一篇文章搞清楚cri oci docker cri-o containerd[未完待续]
qq_32789063的博客
10-12 906
不过这里同样也有一个例外,那就是 Docker,由于 Docker 当时的江湖地位很高,Kubernetes 是直接内置了 dockershim 在 kubelet 中的,所以如果你使用的是 Docker 这种容器运行时的话是不需要单独去安装配置适配器之类的,当然这个举动似乎也麻痹了 Docker 公司。• 作用:CRI 定义了一套 API,使 Kubernetes(通过 kubelet)可以与底层的容器运行时(如 containerdCRI-O)进行交互,而不依赖于特定的容器运行时。
k8s教程(基础篇)-安装与配置概述
阿甘兄
06-08 1853
系统由一组可执行程序组成,用户可以通过 在的项目网站下载编译好的二进制文件或镜像文件,或者下载源码并自行将其编译为二进制文件。安装 对软件硬件的系统要求下图所示: 需要容器运行时(Container Runtime Interface, CRI)的支持,目前官方支持的容器运行时包括: 等。宿主机操作系统以为例,使用 系统完成对 服务的配置。为了便于管理,常见的做法是将 服务程序配置为 系统开机自启动的服务。需要注意的是,默认启动了防火墙服务(),而 的与工作之间会有大量的网络通信。安全的
kubeadm-containerd-cri-docker-calico-ingress-helm-metrics-dashboard部署1.26.9版本k8s集群-v2-20250405
最新发布
04-05
一、环境准备 1.更改主机名 2.安装依赖包 3.关闭swap分区 4.关闭 firewalld 防火墙 5.关闭 NetworkManager 6.关闭 SElinux 7.关闭系统不需要的进程 二、配置k8s的流量被防火墙处理 三、配置时间同步 四、主服务器...
kubeadm_containerd_cri-docker部署1.26.9版本k8s集群_v1_20250402
04-02
一、环境准备 1.更改主机名 2.安装依赖包 3.关闭swap分区 4.关闭 firewalld 防火墙 5.关闭 NetworkManager 6.关闭 SElinux 7.关闭系统不需要的进程 二、配置k8s的流量被防火墙处理 三、配置时间同步 四、主服务器...
docker containerd runc containerd-shim等组件的关系
daemon365的博客
05-26 1273
如果这些容器的进的父进程是 containerd ,那么当 containerd 进程挂掉或者重启时,容器的进程也会挂掉,这样就不符合容器的定义了,所以 containerd 通过 containerd-shim 来调用 runc,这样当 containerd 挂掉时,容器的进程还是会继续运行的。目前 dockershim 组件已经删除,不能使用了,所以 k8s 1.24 版本之后,kubelet 只能实现了 cri 接口容器运行时交互,比如 containerdcri-o 等。
浅谈 K8s CRI
astraw99 的博客
08-21 1826
1. 概述进入 K8s 的世界,会发现有很多方便扩展的 Interface,包括 CRI, CSI, CNI 等,将这些接口抽象出来,是为了更好的提供开放、扩展、规范等能力。K8s CRI(Container Runtime Interface)K8s 定义的一组与容器运行时进行交互的接口,用于将 K8s 平台与特定的容器运行时实现解耦。CRIKubernetes 1.5 中引入,并充...
一文理解docker组成、containerddockershim、runc、CRI
空山新雨后,天气晚来秋
07-17 811
一文理解docker组成、containerddockershim、runc、CRI
Kubernetes中的CRI、CNI与CSI:深入理解云原生存储、网络与容器运行时
CloudJourney的博客
08-03 1882
CRI(Container Runtime Interface)是Kubernetes用来与容器运行时进行交互的标准接口。它定义了一套远程过程调用(RPC)API,这些API被用来管理容器的生命周期,包括容器的创建、启动、停止、删除以及查询状态等操作。CRI的主要目标是解耦Kubernetes的核心组件(如kubelet)与具体的容器运行时实现,从而允许Kubernetes支持多种容器运行时,如DockercontainerdCRI-O等。
Docker, Containerd CRI 关系
05-03 245
其实我们仔细观察也不难发现使用 Docker 的话其实是调用链比较长的,真正容器相关的操作其实 containerd 就完全足够了,Docker 太过于复杂笨重了,当然 Docker 深受欢迎的很大一个原因就是提供了很多对用户操作比较友好的功能,但是对于 Kubernetes 来说压根不需要这些功能,因为都是通过接口去操作容器的,所以自然也就可以将容器运行时切换到 containerd 来。crictl 是 CRI 兼容的容器运行时命令行接口,可以使用它来检查调试 k8s 节点上的容器运行时应用程序。
DockercontainerdCRICRI-O、OCI、runc傻傻分不清,到底有什么关系?
02-28 1254
综上所述,Docker 是一个完整的容器化平台,包括容器格式、运行时生态系统;CRI 定义了 Kubernetes容器运行时之间的接口CRI-O 是符合 CRI 规范的轻量级容器运行时;OCI 定义了容器镜像格式运行时规范;runc 实现了 OCI 容器运行时规范,是其他容器平台的默认容器运行时。DockercontainerdCRICRI-O、OCI、runc都是容器相关的技术或规范,很多人容易搞混了,今天我们来捋一捋它们之间的关系。
云原生技术 --- k8s节点组件之容器运行时接口CRI)的学习与理解
编码爱好者
09-29 899
CRI 是一个插件接口,它使 kubelet 能够使用各种容器运行时,无需重新编译集群组件。 你需要在集群中的每个节点上都有一个可以正常工作的容器运行时, 这样 kubelet 能启动 Pod 及其容器容器运行时接口CRI)是 kubelet 容器运行时之间通信的主要协议。 Kubernetes 容器运行时接口(Container Runtime Interface;CRI)定义了主要 gRPC 协议, 用于集群组件 kubelet 容器运行时。
K8sCRI机制是什么?
李姓门徒
05-25 705
K8s CRI(Container Runtime Interface)K8s 定义的一组与容器运行时进行交互的接口,用于将 K8s 平台与特定的容器运行时实现解耦。CRIKubernetes 1.5 中引入,并充当 kubelet 容器运行时之间的桥梁。目前实现了 CRI spec 的 Runtime 有 Docker Engine、containerdCRI-O、Mirantis Container Runtime(Docker 企业版) 等。
云原生篇】深入理解K8S CNI、CRI CSI
林木森的博客
04-08 1779
Kubernetes (K8s) 生态系统中,CNI、CRI CSI 是三个关键的接口,它们分别代表 Container Network Interface、Container Runtime Interface Container Storage Interface。这些接口定义了 Kubernetes 如何与网络、容器运行时存储系统进行交互,使得 Kubernetes 能够与各种技术栈兼容,增加了其灵活性可扩展性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值