首页 > 其他分享 >Day27-containerd

Day27-containerd

时间:2024-08-31 18:27:00浏览次数:13  
标签:容器 containerd Day27 etc plugins Docker config

containerd的历史

(1)早在2016年3月,Docker 1.11的Docker Engine里就包含了containerd,而现在则是把containerd从Docker Engine里
彻底剥离出来,作为一个独立的开源项目独立发展,目标是提供一个更加开放、稳定的容器运行基础设施。和原先包含在Docker Engine里
containerd相比,独立的containerd将具有更多的功能,可以涵盖整个容器运行时管理的所有需求。

(2)containerd并不是直接面向最终用户的,而是主要用于集成到更上层的系统里,比如Swarm,Kubernetes,Mesos等容器编排系统。

(3)containerd以Daemon的形式运行在系统上,通过暴露底层的gRPC API,上层系统可以通过这些API管理机器上的容器。

(4)每个containerd只负责一台机器,Pull镜像,对容器的操作(启动、停止等),网络,存储都是由containerd完成。
具体运行容器由runc负责,实际上只要是符合OCI规范的容器都可以支持。

(5)对于容器编排服务来说,运行时只需要使用containerd+runc,更加轻量,容易管理。

(6)独立之后containerd的特性演进可以和Docker Engine分开,专注容器运行时管理,可以更稳定。

image.png

2013年docker公司在推出docker产品后,由于其对全球技术产生了一定的影响力,Google公司明显感觉到自己公司内部所使用的
Brog系统江湖地位受到的威胁,希望Docker公司能够与自己联合打造一款开源的容器运行时作为Docker核心依赖,但Docker公司
拒绝了;

接着Google公司联合RedHat、IBM等公司说服Docker公司把其容器核心技术libcontainer捐给中立社区(OCI,Open Container 
Intiative),并更名为runC。

为了进一步遏制Docker在未来技术市场影响力,避免在容器市场上Docker一家独大,Google公司带领导RedHat、IBM等成立了CNCF
(Cloud Native Computing Fundation)基金会,即云原生计算基金会。CNCF的目标很明确,既然在容器应用领域无法与Docker相抗衡,
那就做Google更有经验的技术市场------大规模容器编排应用场景,Google公司把自己内部使用的Brog系统开源------Kubernetes,
也就是我们今天所说的云原生技术生态。

2016年Docker公司推出了Docker Swarm,意在一统Docker生态,让Docker既可以实现容器应用管理,也可以实现大规模容器编排,
经过近1年左右时间的市场验证后,发现在容器编排方面无法独立抗衡kubernetes,所以Docker公司于2017年正式宣布原生支持
Kubernetes,至此,Docker在大规模容器编排应用市场败下阵来,但是Docker依然不甘心失败,把Docker核心依赖Containerd
捐给了CNCF,依此说明Docker依旧是一个Paas平台。

2020年CNCF基金会宣布Kubernetes 1.20版本将不再仅支持Docker容器管理工具,此事的起因主要也与Docker捐给CNCF基金会的
Containerd有关,早期为了实现Kubernetes能够使用Docker实现容器管理,专门在Kubernetes组件中集成一个shim(垫片)技术,
用来将Kubernetes容器运行时接口(CRI,Container Runntime Interface)调用翻译成Docker的API,这样就可以很好地使用Docker了,
但是随着Kubernetes在全球技术市场的广泛应用,有更多的容器管理工具的出现,它们都想能够借助于Kubernetes被用户所使用,
所以就提出标准化容器运行时接口,只要适配了这个接口就可以集成到Kubernetes生态当中,所以Kubernetes取消了对shim的维护,
并且由于Containerd技术的成功,可以实现无缝对接Kubernetes,所以接下来Kubernetes容器运行时的主角是Containerd。

containerd的架构

Containerd被分为三个大块:Storage、Metadata和Runtime。

image.png

Containerd设计的目的是为了嵌入到Kubernetes中使用,它是一个工业级的容器运行时,不提供给开发人员和终端用户直接使用,
这样就避免了与Docker产生竞争,但事实上,Containerd已经实现大多数容器管理功能,例如:容器生命周期管理、容器镜像传输
和管理、容器存储与网络管理等。Containerd设计的目的是为了嵌入到Kubernetes中使用,它是一个工业级的容器运行时,不提供给开发人员和终端用户直接使用,
这样就避免了与Docker产生竞争,但事实上,Containerd已经实现大多数容器管理功能,例如:容器生命周期管理、容器镜像传输
和管理、容器存储与网络管理等。

image.png

Containerd采用标准的c/s架构
-服务端通过GRPC协议提供稳定的API
-客户端通过调用服务端的API进行高级的操作

-为了实现解耦,Containerd 将不同的职责划分给不同的组件,
每个组件就相当于一个子系统(subsystem),连接不同子系统的组件被称为模块。

例如,上图中的每一个长虚线的方框都表示一种类型的插件,包括Service Plugin、Metadata Plugin、
GC Plugin、Runtime Plugin 等,其中Service Plugin又会依赖Metadata Plugin GC Plugin和Runtime Plugin。
每一个小方框都表示一个细分的插件,例如Metadata Plugin 依赖Containers Plugin、Content Plugin 等。


Containerd 两大子系统为:

-Bundle:在Containerd中,Bundle包含了配置、元数据和根文件系统数据,

你可以理解为容器的文件系统。而Bundle子系统允许用户从镜像中提取和打包Bundles。



-Runtime:Runtime子系统用来执行Bundles,比如创建容器。其中,每一个子系统的

行为都由一个或多个模块协作完成(架构图中的Core部分)。每一种类型的模块都以插件

的形式集成到Containerd中,而且插件之间是相互依赖的。
-----------------------------------
©著作权归作者所有:来自51CTO博客作者小李飞刀xx23的原创作品,请联系作者获取转载授权,否则将追究法律责任
第二十九节   containerd的介绍与安装
https://blog.51cto.com/u_14016919/11880669



常用插件
Content Plugin:提供对镜像中可寻址内容的访问,所有不可变的内容都被存储在这里。



Snapshot Plugin:用来管理容器镜像的文件系统快照。

镜像中的每一个layer都会被解压成文件系统快照,类似于Docker中的"graphdriver"。



Metrics:暴露各个组件的监控指标。

image.png

安装方式

yum

更换源

# 更换源
wget -O /etc/yum.repos.d/docker-ce.repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

yum list | grep containerd
yum -y install containerd.io

image.png

#验证是否安装
rpm -qa | grep containerd
开机启动
systemctl enable containerd
systemctl start containerd
# 查看运行状态
systemctl is-active containerd

# 查看ctr版本
ctr version

image.png

二进制

拉取二进制包

二进制下载,首先获取官网的二进制包
wget https://github.com/containerd/containerd/releases/download/v1.7.21/cri-containerd-cni-1.7.21-linux-amd64.tar.gz

image.png

我们可以看到这个二进制包装是有cni的,也就是包含了K8s使用时候需求的组件,但是如果没有包含cni 
可以直接用于单机测试即可

解压、权限赋予

mkdir containerd
mv cri-containerd-cni-1.7.21-linux-amd64.tar.gz containerd/
tar -zxvf cri-containerd-cni-1.7.21-linux-amd64.tar.gz
cp -p  /root/containerd/usr/local/bin/*   /usr/local/bin/
cp -p  /root/containerd/etc/systemd/system/containerd.service  /usr/lib/systemd/system/
chmod +x  /usr/lib/systemd/system/containerd.service

image.pngimage.png

生成配置文件

生成配置文件
创建配置文件目录
mkdir /etc/containerd
生成配置文件
containerd config default > /etc/containerd/config.toml

## containerd config default > /etc/containerd/config.toml命令创建一份模块配置文件
查看配置文件
cat /etc/containerd/config.toml
备份默认配置文件
cp /etc/containerd/config.toml /etc/containerd/config.toml.bak
修改配置文件
vim /etc/containerd/config.toml
--------------
root = "/var/lib/containerd"
state = "/run/containerd"
oom_score = -999

[grpc]
  address = "/run/containerd/containerd.sock"
  uid = 0
  gid = 0
  max_recv_message_size = 16777216
  max_send_message_size = 16777216

[debug]
  address = ""
  uid = 0
  gid = 0
  level = ""

[metrics]
  address = ""
  grpc_histogram = false

[cgroup]
  path = ""

[plugins]
  [plugins.cgroups]
    no_prometheus = false
  [plugins.cri]
    stream_server_address = "127.0.0.1"
    stream_server_port = "0"
    enable_selinux = false
    sandbox_image = "easzlab/pause-amd64:3.2" #配置了沙箱镜像
    stats_collect_period = 10
    systemd_cgroup = false
    enable_tls_streaming = false
    max_container_log_line_size = 16384
    [plugins.cri.containerd]
      snapshotter = "overlayfs"
      no_pivot = false
      [plugins.cri.containerd.default_runtime]
        runtime_type = "io.containerd.runtime.v1.linux"
        runtime_engine = ""
        runtime_root = ""
      [plugins.cri.containerd.untrusted_workload_runtime]
        runtime_type = ""
        runtime_engine = ""
        runtime_root = ""
    [plugins.cri.cni]
      bin_dir = "/opt/kube/bin"
      conf_dir = "/etc/cni/net.d"
      conf_template = "/etc/cni/net.d/10-default.conf"
    [plugins.cri.registry]
      [plugins.cri.registry.mirrors]
        [plugins.cri.registry.mirrors."docker.io"]     #endpoint表示配置镜像地址
          endpoint = [
            "https://docker.mirrors.ustc.edu.cn",
            "http://hub-mirror.c.163.com"
          ]
        [plugins.cri.registry.mirrors."gcr.io"]
          endpoint = [
            "https://gcr.mirrors.ustc.edu.cn"
          ]
        [plugins.cri.registry.mirrors."k8s.gcr.io"]
          endpoint = [
            "https://gcr.mirrors.ustc.edu.cn/google-containers/"
          ]
        [plugins.cri.registry.mirrors."quay.io"]
          endpoint = [
            "https://quay.mirrors.ustc.edu.cn"
          ]
    [plugins.cri.x509_key_pair_streaming]
      tls_cert_file = ""
      tls_key_file = ""
  [plugins.diff-service]
    default = ["walking"]
  [plugins.linux]
    shim = "containerd-shim"
    runtime = "runc"
    runtime_root = ""
    no_shim = false
    shim_debug = false
  [plugins.opt]
    path = "/opt/containerd"
  [plugins.restart]
    interval = "10s"
  [plugins.scheduler]
    pause_threshold = 0.02
    deletion_threshold = 0
    mutation_threshold = 100
    schedule_delay = "0s"
    startup_delay = "100ms"
--------------

设置开机自启动

systemctl enable containerd   #开机启动

systemctl start containerd      #启动

systemctl is-active containerd    #查看状态

关于runc报错的问题

image.png

centos7 上会出现这个报错,而rocky8不会出现这类的报错信息

由于二进制包中提供的runC默认需要系统中安装seccomp支持
需要单独安装
且不同版本runC对seccomp版本要求一致,所以建议单独下载runC 二进制包进行安装
里面包含了seccomp模块支持

image.png

如何解决centos7报错的问题

runc 报错:
runc:symbol lookup error:runc:undefined symbol:seccomp_notify_respond
k8s用centos7搭建集群底层走containerd可能会出现这个报错
方法一:
wget https://github.com/opencontainers/runc/releases/download/v1.1.13/libseccomp-2.5.5.tar.gz
yum install -y gcc gcc-c++ gperf 
tar -zxvf libseccomp-2.5.5.tar.gz 
cd libseccomp-2.5.5
./configure 
make 
make install 
wget https://github.com/opencontainers/runc/releases/download/v1.1.13/runc.amd64
mv runc.amd64 runc 
mv runc /usr/local/sbin/
chmod +x /usr/local/sbin/runc 
runc --version



方法2
创建默认配置文件
mkdir -p /etc/containerd
containerd config default | tee /etc/containerd/config.toml
修改Containerd的配置文件
sed -i "s#SystemdCgroup\ \=\ false#SystemdCgroup\ \=\ true#g" /etc/containerd/config.toml
cat /etc/containerd/config.toml | grep SystemdCgroup


old_image='sandbox_image = "registry.k8s.io/pause:.*"'
new_image='sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.9"'
sed -i "s|$old_image|$new_image|" /etc/containerd/config.toml

sed -i "s#config_path\ \=\ \"\"#config_path\ \=\ \"/etc/containerd/certs.d\"#g" /etc/containerd/config.toml
cat /etc/containerd/config.toml | grep certs.d


mkdir /etc/containerd/certs.d/docker.io -pv 
cat > /etc/containerd/certs.d/docker.io/hosts.toml << EOF
server = "https://docker.io"
[host."https://docker.m.daocloud.io"]
  capabilities = ["pull", "resolve"]
EOF

# systemctl enable containerd
# systemctl start containerd
# ctr images ls

标签:容器,containerd,Day27,etc,plugins,Docker,config
From: https://blog.51cto.com/u_16873273/11883403

相关文章

  • 第二十九节 containerd的介绍与安装
    一、containerd的介绍1、containerd介绍(1)早在2016年3月,Docker1.11的DockerEngine里就包含了containerd,而现在则是把containerd从DockerEngine里彻底剥离出来,作为一个独立的开源项目独立发展,目标是提供一个更加开放、稳定的容器运行基础设施。和原先包含在DockerEngine里con......
  • [kubernetes]使用kubeadm和containerd部署kubernetes
    前言因宿主机内核版本限制和垂直伸缩特性的需要,安装的k8s版本为1.25,runtime为containerd,cni为calico。containerd、kubeadm、kubelet也可以用包管理器来安装,因为不想配repo,也不想校验repo版有哪些区别,所以这几个都是用原生二进制方式安装的。环境信息IPHostnameOSVersio......
  • containerd:配置https私有镜像仓库的最新方法
    随着containerd应用越来越广泛,我们必须紧跟官网的节奏。之前配置https私有镜像仓库的方法比较繁琐,并且不易梳理,下边介绍一下目前最新的配置方法。配置https私有镜像仓库我假设你现在已经有私有仓库并且是https再假设你的harbor域名是harbor.example.cn你只需要在/etc/contain......
  • 基于Ubuntu部署企业级kubernetes集群---k8s集群容器运行时Containerd准备
    1.Containerd部署文件获取1.下载 Containerd文件wgethttps://github.com/containerd/containerd/releases/download/v1.7.21/cri-containerd-1.7.21-linux-amd64.tar.gz2.查看下载的文件 3.解压到当前文件到根目录下tarxfcri-containerd-1.7.21-linux-amd64.tar.g......
  • docker和containerd的区别
    目录容器运行时Docker:原先的翘楚Containerd:K8s生态系统的标配容器运行时接口(CRI)Kubernetes与dockershim当前支持的CRI后端Dockershim调用关系对比常用命令容器运行时容器运行时(ContainerRuntime)是一种负责在操作系统层面创建和管理容器的软件工具或组件。它是容器化技术的......
  • k8s集群使用私有仓库通过containerd上传镜像(没解决...)
    查阅资料根据containerd中部分文档https://github.com/containerd/containerd/blob/release/1.5/docs/cri/registry.mdhttps://github.com/containerd/containerd/blob/release/1.5/docs/hosts.mdhttps://blog.csdn.net/u010566813/article/details/125990298最终私有......
  • Containerd高级命令行工具nerdctl安装及使用
      ################crictl####################crictl安装k8s即有,ctr是containerd的一个客户端工具,ctr-v输出的是containerd的版本[root@m1~]#crictl-vcrictlversionv1.30.1[root@m1~]#[root@m1~]#crictlimagesIMAGE......
  • Containerd初体验
    一、Containerd概述1.什么是Containerd        Containerd(containerDaemon)是一个开源的容器运行时,它提供了一种标准化的方式来管理容器的生命周期。该项目最初是由Docker开发团队创建的,并在后来成为一个独立的项目,被纳入了cloudNativecomputingFoundation(......
  • 嵌入式学习---DAY27:信号量、进程间的通信
    一、信号量信号量(semaphore)是操作系统用来解决并发中的互斥和同步问题的一种方法。信号量(个数)---反映的是资源的数量信号量的分类:信号无名量==》线程间通信             有名信号量==》进程间通信1.信号量的定义(为全局变量)sem_t sem......
  • containerd + nerdctl安装
    下载所需依赖#containerd包wgethttps://github.com/containerd/containerd/releases/download/v1.6.8/containerd-1.6.8-linux-amd64.tar.gztarCxzvf/usr/localcontainerd-1.6.8-linux-amd64.tar.gz#runcwgethttps://github.com/opencontainers/runc/releases/downl......