docker和contanerd都是流行的容器运行时(container runtime);想讲清楚他们两之间的关系,让我们先从runC和OCI规范说起。
一、OCI标准和runC
1、OCI(open container initiative)
OCI是容器标准化组织为了推进容器技术的发展,对容器标准进行的定义;方便业界按照统一的标准进行容器开发,在2015年由Docker公司牵头制定了容器标准;OCI目前包括了两个标准:runtime-spec和image-spec,分别定义了容器运行时标准和容器镜像标准。
2、runC
runC是基于OCI规范开发的一个轻量级的容器运行时,他是一个GO语言编写的轻量级工具;他用于在linux系统中管理容器的生命周期,包括容器的创建、删除、列出、杀死、删除,但是不包括镜像的管理。
runc也是docker、containerd内部实现容器管理的工具。
3、Low-Level和High-Level容器运行时
低级容器运行时和高级容器运行时是容器技术中的两种不同类型。
低级容器运行时主要处理底层细节,利用Linux内核功能namespace和Cgroups来运行、创建容器。namespace可以让你为每个容器提供虚拟化系统资源,比如文件系统和网络,Cgroup提供了限制每个容器所能使用的资源,比如内存和CPU。它们负责创建和运行容器,但不处理像镜像构建、镜像管理、网络等高级运行时提供的功能。
高级容器运行时则提供更多功能,如管理容器的生命周期、管理镜像、存储管理、网络管理。高级容器运行时将容器运行的实现交给了runc。
低级容器运行时可以通过OCI规范与高级容器运行时(如containerd)进行交互。高级容器运行时会提供一个config.json文件给低级运行时,然后由低级运行时创建容器。
二、docker与containerd
1、containerd
containerd是一个高级的容器运行时,他与runc不同,runc执行是一个命令行工具,而containerd可以在宿主机上管理完整的容器生命周期,包括镜像的传输与存储、容器的执行与管理存储、网络等;
containerd是从docker中分离出来的一个项目,他比docker更加轻量,摒弃了一些与容器编排冲突的功能,所以可以作为底层的容器运行时,他现在成了新版本kuberbetes默认的容器运行时,后面再详细说明为什么kubernetes会选择containerd作为容器运行时,下图为以containerd做为底层容器运行时的平台。
2、docker
1.docker概述
docker容器技术的颠覆者,通过轻量级容器化、简单操作命令的方式实现了应用打包和交付运行。
Docker Daemon整体架构采用C/S模式,主要有客户端和服务器两大部分组成。客户端负责发送命令,服务端负责接收命令。
2.Docker Daemon组件构成
下图包含了runC、containerd-shim、containerd、docker之间的层级关系
docker相关的组件
- docker:docker命令,也就是docker客户端
- dockerd:dockerd进程,一般都是后台运行,接收docker客户端发来的指令
- docker-init:可以在启动的时候添加 --init参数,以docker-init作为1号进程,负责管理容器内的子进程
- docker-proxy:主要作端口映射,底层依赖iptables实现
containerd相关组件
- containerd:管理容器、镜像、存储、网络,后台是一个常驻进程,通过套接字接收dockerd发送的请求
- containerd-shim:主要将真正的容器与containerd解耦,使用containerd-shim作为容器进程的父进程,从而实现重启containerd而不影响容器进程。
- ctr:containerd的客户端工具
容器运行时相关组件
- runc:unc 是一个标准的 OCI 容器运行时的实现,它是一个命令行工具,可以直接用来创建和运行容器。
三、CRI接口
1、CRI概述
Kubernetes为了实现可插拔设计,提供了三个接口,分别是容器网络接口CNI、容器运行时接口CRI、容器存储接口CSI,只要满足相应的接口信息,便可以接入到kubernetes中。
在kubernetes的1.5版本以前,k8s依赖docker,为了支持不同的容器运行时,也为了与docker解耦,便开放了CRI标准,方便kubernetes与其他容器运行时进行对接。
2、CRI支持后端
- cri-o
- docker
- cri-containerd
- rkt
- frakti
3、dockershim
在kubernetes提出CRI规范时,docker并不支持CRI标准,由于当时Docker在容器运行时领域是绝对权威的存在,kubernetes在kubelet中加入了docker-shim,用来对接docker与kubelet,使docker可以兼容。实际的链路是:
后来越来越多的容器运行时开始支持CRI接口,kubernetes在1.24版本的kubelet中正式删除了dockershim,改成了直接对接containerd(此版本已经支持CRI,containerd由docker公司开源),这种链路更加简洁,效率更高。
新版本的containerd已经将CRI-containerd集成到containerd中,整个链路更加简洁。