Kubernetes将弃用Docker！与 containerd容器引擎

时间戳：2022-06-07 20:32:19 星期二

撰写文档参考：（阿良-腾讯课堂）Kubernetes将弃用Docker

参考博客k8s入坑之路（3）containerd容器

containerd概念

containerd主要是namebases与k8s docker不同 存放路径不一致 没有默认仓库

容器运行时：

2020年未kubernetes宣布不再支持docker

Kubernetes将弃用Docker描述

在Kubernetes平台中，为了解决与容器运行时(例如Docker) 集成问题，在早期社区推出了CRI (Container untime Interface,容器运行时接口)，以支持更多的容器运行时。

Kubernetes计划弃用就是kubelet中dockershim。即Kubernetes kubelet实现中的组件之一，它能够与Docker Engine进行通信。

当我们使用Docker作为容器运行时之后，架构是这样的，如图所示:

移除docker shim 组件将不能直接调用dockerd守护进程，移除后将由kubelet直接调用containerd

docker 和 OCI +CNCF

CNCF（云原生计算机协会）成立容器编排大战中由kubernetes胜出，docker将containerd捐赠CNCF，containerd比runc更高一层的封装。

kubernetes为了保持中立性在1.5版本推出CRI机制，CRI本质是GRPC接口的定义。容器操作接口，镜像操作接口。第一个实现接口的是containerd。

docker 和 kubernetes 与 containerd容器引擎

当我们使用Docker作为容器运行时之后，架构是这样的，如图所示:

移除docker shim 组件将不能直接调用dockerd守护进程，移除后将由kubelet直接调用containerd

kubernetes为了支持docker自己做了dockershim垫片，kubelet调用grpc接口调用dockershim，然后dockershim通过CRI去电泳docker api，docker去操作containerd。kubernetes宣布不再支持docker cri实现是把dockershim去掉。

containerd介绍由来

17年之前docker-ce和docker-ee没有分家之前，docker架构是比较单一的由docker直接管理创建容器的，当其决定拆分企业版和社区版时候对架构进行了很多改变 将它的内部组件解耦，拆分成了很多的小组件，containerd在那个时候被独立了出来，并且符合了kubernetes的CRI容器运行时的接口标准。

Kubernetes将弃用Docker，实际上是弃用了对dockerd守护进程的接口转换支持（取消了docker shim），还是可以通过containerd容器引擎的

containerd 是docker之前的一个产品， 在docker解耦后送给了，独立了出来，docker自己没有要送给了CNCF基金会，containerd与Docker相兼容，相比Docker轻量很多，目前较为成熟。

docker由libcontainer及containerd组成将libcontainer捐赠给OCI开源基金会将libcontainer改名runc，OCI定义了镜像规范，运行时规范。（镜像标准镜像组织结构包含各种文件目录等，运行时如何启动一个容器需要接受那些指定，配置生命周期等，如何划分cgroup等）runc实现。

docker 与 containerd容器引擎

切换到Containerd

• 命令不一样，有一定的学习成本
• 展示的字段格式略不同
• 更简单、更稳定、更高效

这么做的优点：

Docker内部调用链比较复杂，多层封装和调用，导致性能降低、提升故障率、不易排查

Docker还会在宿主机创建网络规则、存储卷,也带来了安全隐患

缺点：

各软件需要适配，包括适配新版kubernetes及containerd。containerd镜像拉取存在问题。尽量使用私有仓库进行避免。

如何应对?

在未来的Kubernetes版本彻底放弃Docker支持之前，引入受支持的容器运行时。

除了docker之外，CRI还支持很多容器运行时，例如:

• containerd: containerd与Docker相兼容，相比Docker轻量很多，目前较为成熟
• cri-o, podman:都是红帽(RedHat) 项目，目前红帽主推podman

抛出思考的问题：

1、切换容器引擎docker镜像还能再用嘛?

可以

2、k8s现在还支持docker嘛?

还支持，计划是在1.23版本移除

3、docker还值 得学嘛?

值得

4、做好技术的储备，已应对切换容器引擎

containerd架构：

操作containerd使用的命名空间不同，镜像物理隔离目录完全不同。

Container 安装

containerd 安装

# 1. Container Runtime - Containerd
#### 1.1 软件包下载
# 设定containerd的版本号
$ VERSION=1.4.3
# 下载压缩包
$ wget https://github.com/containerd/containerd/releases/download/v${VERSION}/cri-containerd-cni-${VERSION}-linux-amd64.tar.gz

#### 1.2 整理压缩文件
下载后的文件是一个tar.gz，是一个allinone的包，包括了runc、circtl、ctr、containerd等容器运行时以及cni相关的文件，解压缩到一个独立的目录中
# 解压缩
$ tar -xvf cri-containerd-cni-${VERSION}-linux-amd64.tar.gz
# 复制需要的文件
$ cp etc/crictl.yaml /etc/
$ cp etc/systemd/system/containerd.service /etc/systemd/system/
$ cp -r usr /

#### 1.3 containerd配置文件
$ mkdir -p /etc/containerd
# 默认配置生成配置文件
$ containerd config default > /etc/containerd/config.toml
# 定制化配置（可选）
$ vi /etc/containerd/config.toml

#### 1.4 启动containerd
$ systemctl enable containerd
$ systemctl restart containerd
# 检查状态
$ systemctl status containerd

Container 的ctr命令

containerd 的ctr命令

####镜像操作
#ctr i -h查看帮助
# 拉取镜像
$ ctr image pull docker.io/library/nginx:alpine
# 列出本地镜像
$ ctr image ls
# 使用 -q（--quiet） 选项可以只打印镜像名称。
$ ctr image ls -q
# 检测本地镜像
$ ctr image check
# 重新打标签
$ ctr image tag docker.io/library/nginx:alpine harbor.k8s.local/course/nginx:alpine
# 删除镜像
$ ctr image rm harbor.k8s.local/course/nginx:alpine
# 将镜像挂载到主机目录
$ ctr image mount docker.io/library/nginx:alpine /mnt
# 将镜像从主机目录上卸载
$ ctr image unmount /mnt
# 将镜像导出为压缩包
$ ctr image export nginx.tar.gz docker.io/library/nginx:alpine
# 从压缩包导入镜像
$ ctr image import nginx.tar.gz

#### 容器操作
容器相关操作可以通过 ctr container 获取。
# 创建容器
$ ctr container create docker.io/library/nginx:alpine nginx
# 列出容器
$ ctr container ls
# 同样可以加上 -q 选项精简列表内容：
$ ctr container ls -q
# 查看容器详细配置
$ ctr container info nginx
# 删除容器
$ ctr container rm nginx

将crictl转变为docker命令操作ctr

ctr i -h查看帮助

ctr i pull docker.io/library/redis:alpine 拉取镜像（默认不带镜像仓库地址） docker pull docker.io/library/redis:alpine docker仓库会自动补全

ctr i ls 查看镜像

ctr ns 查看命名空间 c 创建 ls 查看  rm删除 label设置标签

docker tag redis:alpine registry.cn-hangzhou.aliyuncs.com/imooc/redis:alpine将镜像重新打标签

docker push registry.cn-hangzhou.aliyuncs.com/imooc/redis:alpin上传镜像

ctr i pull registry.cn-hangzhou.aliyuncs.com/imooc/redis:alpin 拉取镜像

ctr i ls查看镜像

ctr run -t -d registry.cn-hangzhou.aliyuncs.com/imooc/redis:alpin redis 启动容器

ctr c ls查看当前运行容器

ctr t ls 查看当前运行任务

ctr t kill 杀掉当前任务

ctr t rm 删除任务

ctr c rm 删除容器

ctr -n default t ls 查看当前命名空间任务

k8s给containerd提供crictl命令

crictl images 查看镜像

crictl ps 查看进程

crictl pod 查看
podcrictl logs 查看日志
crictl exec 进入容器
alias docker=crictl 将crictl转变为docker命令操作ctr

ctr -n k8s.io i tag registry.cn-hangzhou.aliyuncs.com/kubernetes-kubespray/pause:3.2 k8s.gcr.io/pause:3.2 重新将镜像打一个tag
docker变成docker ce后默认命名空间moby containerd默认空间default kubernetes默认空间k8s.io