Container Runtime概述
定义与核心作用
Container Runtime 是负责容器生命周期管理的底层组件,在Kubernetes集群中作为容器执行引擎,负责拉取镜像、创建容器、启动进程、管理存储和网络等核心功能。
核心职责
- 容器生命周期管理: 创建、启动、停止、删除容器
- 镜像管理: 拉取、存储、管理容器镜像
- 资源隔离: 通过namespace和cgroups实现资源隔离
- 网络配置: 配置容器网络接口和路由
- 存储管理: 挂载卷和管理容器文件系统
- 安全控制: 实现安全策略和权限控制
在Kubernetes生态中的位置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
| graph TB
subgraph "Kubernetes Node"
KUBELET[kubelet]
subgraph "Container Runtime Interface (CRI)"
CRI_API[CRI gRPC API]
end
subgraph "Container Runtime"
CONTAINERD[containerd]
RUNTIME[runc/kata/gvisor]
end
subgraph "Container Layer"
CONTAINER1[Container 1]
CONTAINER2[Container 2]
CONTAINER3[Container 3]
end
subgraph "Infrastructure"
KERNEL[Linux Kernel]
CGROUPS[cgroups]
NAMESPACES[namespaces]
end
end
KUBELET --> CRI_API
CRI_API --> CONTAINERD
CONTAINERD --> RUNTIME
RUNTIME --> CONTAINER1
RUNTIME --> CONTAINER2
RUNTIME --> CONTAINER3
CONTAINER1 --> KERNEL
CONTAINER2 --> KERNEL
CONTAINER3 --> KERNEL
KERNEL --> CGROUPS
KERNEL --> NAMESPACES
style CONTAINERD fill:#ff9999,stroke:#333,stroke-width:4px
style CRI_API fill:#99ccff,stroke:#333,stroke-width:2px
|
Container Runtime演进历史
发展时间线
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| timeline
title Container Runtime 演进历史
2013 : Docker诞生
: 一体化容器解决方案
2015 : OCI标准制定
: Runtime Spec
: Image Spec
2016 : CRI接口发布
: Kubernetes 1.5
: 标准化Runtime接口
2017 : containerd独立
: 从Docker拆分
: CNCF项目
2018 : CRI-O发布
: 轻量级CRI实现
: 专为Kubernetes设计
2020 : Dockershim弃用
: Kubernetes 1.20
: 移除Docker支持
2022 : 多样化Runtime
: gVisor、Kata Containers
: 安全容器技术
|
主流Container Runtime对比
核心Runtime对比
| 特性 |
containerd |
CRI-O |
Docker |
Podman |
| CRI兼容 |
✅ 原生支持 |
✅ 专为CRI设计 |
❌ 需要Dockershim |
❌ 不支持 |
| OCI兼容 |
✅ 完全兼容 |
✅ 完全兼容 |
✅ 兼容 |
✅ 完全兼容 |
| 守护进程 |
✅ 有 |
✅ 有 |
✅ 有 |
❌ 无守护进程 |
| 镜像格式 |
OCI/Docker |
OCI/Docker |
Docker |
OCI/Docker |
| 资源占用 |
轻量 |
最轻量 |
重量级 |
轻量 |
| 安全性 |
中等 |
高 |
中等 |
高 |
| 生态成熟度 |
高 |
中等 |
最高 |
中等 |
安全Runtime对比
| Runtime |
隔离技术 |
性能影响 |
安全级别 |
适用场景 |
| runc |
namespace+cgroups |
无 |
标准 |
通用容器 |
| gVisor |
用户空间内核 |
10-50% |
高 |
多租户环境 |
| Kata Containers |
轻量级虚拟机 |
20-30% |
很高 |
不信任代码 |
| Firecracker |
微虚拟机 |
15-25% |
很高 |
Serverless |
Container Runtime Interface (CRI)
CRI架构设计
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| graph TB
subgraph "kubelet"
KUBELET[kubelet process]
end
subgraph "CRI Plugin"
CRI_RUNTIME[Runtime Service]
CRI_IMAGE[Image Service]
end
subgraph "Container Runtime"
CONTAINERD[containerd]
RUNC[runc]
end
subgraph "gRPC API"
GRPC[CRI gRPC Interface]
end
KUBELET --> GRPC
GRPC --> CRI_RUNTIME
GRPC --> CRI_IMAGE
CRI_RUNTIME --> CONTAINERD
CRI_IMAGE --> CONTAINERD
CONTAINERD --> RUNC
|
CRI接口定义
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
service RuntimeService {
rpc RunPodSandbox(RunPodSandboxRequest) returns (RunPodSandboxResponse) {}
rpc StopPodSandbox(StopPodSandboxRequest) returns (StopPodSandboxResponse) {}
rpc RemovePodSandbox(RemovePodSandboxRequest) returns (RemovePodSandboxResponse) {}
rpc PodSandboxStatus(PodSandboxStatusRequest) returns (PodSandboxStatusResponse) {}
rpc ListPodSandbox(ListPodSandboxRequest) returns (ListPodSandboxResponse) {}
rpc CreateContainer(CreateContainerRequest) returns (CreateContainerResponse) {}
rpc StartContainer(StartContainerRequest) returns (StartContainerResponse) {}
rpc StopContainer(StopContainerRequest) returns (StopContainerResponse) {}
rpc RemoveContainer(RemoveContainerRequest) returns (RemoveContainerResponse) {}
rpc ListContainers(ListContainersRequest) returns (ListContainersResponse) {}
rpc ContainerStatus(ContainerStatusRequest) returns (ContainerStatusResponse) {}
rpc ExecSync(ExecSyncRequest) returns (ExecSyncResponse) {}
rpc Exec(ExecRequest) returns (ExecResponse) {}
rpc Attach(AttachRequest) returns (AttachResponse) {}
rpc PortForward(PortForwardRequest) returns (PortForwardResponse) {}
rpc ContainerStats(ContainerStatsRequest) returns (ContainerStatsResponse) {}
rpc ListContainerStats(ListContainerStatsRequest) returns (ListContainerStatsResponse) {}
rpc UpdateRuntimeConfig(UpdateRuntimeConfigRequest) returns (UpdateRuntimeConfigResponse) {}
rpc Status(StatusRequest) returns (StatusResponse) {}
}
service ImageService {
rpc ListImages(ListImagesRequest) returns (ListImagesResponse) {}
rpc ImageStatus(ImageStatusRequest) returns (ImageStatusResponse) {}
rpc PullImage(PullImageRequest) returns (PullImageResponse) {}
rpc RemoveImage(RemoveImageRequest) returns (RemoveImageResponse) {}
rpc ImageFsInfo(ImageFsInfoRequest) returns (ImageFsInfoResponse) {}
}
|
核心功能特性
1. Pod Sandbox模型 🏗️
1
2
3
4
5
6
|
Pod Sandbox = 共享网络命名空间 + 共享IPC + 共享PID(可选)
├── pause容器 (Infrastructure Container)
├── 应用容器1
├── 应用容器2
└── sidecar容器
|
Sandbox生命周期:
1
2
3
4
5
6
7
8
9
10
| stateDiagram-v2
[*] --> Created : RunPodSandbox
Created --> Ready : 网络配置完成
Ready --> Running : 容器启动
Running --> Stopped : StopPodSandbox
Stopped --> [*] : RemovePodSandbox
Ready --> Failed : 配置失败
Running --> Failed : 运行时错误
Failed --> [*] : 清理资源
|
2. 容器生命周期管理 ♻️
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
type ContainerState int32
const (
CONTAINER_CREATED ContainerState = 0
CONTAINER_RUNNING ContainerState = 1
CONTAINER_EXITED ContainerState = 2
CONTAINER_UNKNOWN ContainerState = 3
)
type ContainerConfig struct {
Metadata *ContainerMetadata
Image *ImageSpec
Command []string
Args []string
WorkingDir string
Envs []*KeyValue
Mounts []*Mount
Devices []*Device
Labels map[string]string
Annotations map[string]string
LogPath string
Linux *LinuxContainerConfig
}
|
3. 镜像管理 📦
1
2
3
4
5
6
7
8
9
10
11
|
Pull Image → Verify Signature → Extract Layers → Create Filesystem → Ready to Use
/var/lib/containerd/io.containerd.content.v1.content/
├── blobs/
│ └── sha256/
│ ├── layer1.tar.gz
│ ├── layer2.tar.gz
│ └── manifest.json
└── ingest/
|
4. 资源隔离机制 🔒
namespace隔离
1
2
3
4
5
6
7
8
|
├── PID Namespace
├── NET Namespace
├── MNT Namespace
├── UTS Namespace
├── IPC Namespace
├── USER Namespace
└── CGROUP Namespace
|
cgroups资源控制
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
/sys/fs/cgroup/
├── memory/
├── cpu/
├── blkio/
├── net_cls/
└── devices/
/sys/fs/cgroup/
└── 统一层级结构
├── memory.max
├── cpu.max
└── io.max
|
面试重点知识
高频考点 📝
Q1: Container Runtime在Kubernetes中的作用?
- 负责容器的实际执行
- 通过CRI接口与kubelet通信
- 管理容器生命周期和资源
- 提供网络和存储抽象
Q2: CRI接口的设计目标是什么?
- 解耦Kubernetes和具体Runtime
- 标准化容器操作接口
- 支持多种Runtime实现
- 简化Runtime集成
Q3: Docker和containerd的区别?
- Docker: 完整的容器平台,包含Runtime
- containerd: 专注于Runtime功能
- containerd更轻量,更适合Kubernetes
- Docker已从Kubernetes中移除
Q4: 什么是Pod Sandbox?
- Pod内容器共享的基础设施
- 提供共享网络、IPC、PID命名空间
- 通常由pause容器实现
- 是Pod隔离的基本单元
深度分析题 🔍
Q: 设计一个高安全性的容器运行时
考虑因素:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| mindmap
root((安全Container Runtime))
(隔离技术)
虚拟化隔离
用户空间内核
安全容器
Hardware TEE
(权限控制)
最小权限原则
SELinux/AppArmor
Seccomp过滤
Capabilities控制
(镜像安全)
镜像签名验证
漏洞扫描
准入控制
内容信任
(运行时安全)
行为监控
异常检测
资源限制
网络隔离
|
学习路径建议
🎯 面试准备 (2-3天)
- 基本概念: CRI接口、Pod Sandbox、容器生命周期
- 核心Runtime: containerd、CRI-O、runc对比
- 安全机制: namespace、cgroups、安全容器
- 故障排查: 常见问题和诊断方法
🔬 深度学习 (1-2周)
- CRI实现: 深入理解gRPC接口和实现
- Runtime架构: containerd架构和插件机制
- 安全技术: gVisor、Kata Containers原理
- 性能优化: 启动速度、资源使用优化
👨💻 专家级别 (1个月+)
- 源码分析: Runtime核心模块源码
- 自定义Runtime: 开发自己的Runtime实现
- 安全加固: 企业级安全策略实施
- 性能调优: 大规模集群优化实践
实战练习建议
1. 基础操作
1
2
3
4
5
|
ctr images pull docker.io/library/nginx:latest
ctr containers create docker.io/library/nginx:latest nginx-test
ctr tasks start nginx-test
ctr containers list
|
2. CRI测试
1
2
3
4
5
6
|
crictl pull nginx:latest
crictl images
crictl run container.json pod.json
crictl ps
crictl logs <container-id>
|
3. 安全配置
1
2
3
4
5
|
sudo runsc --platform=ptrace run nginx-secure
sudo kata-runtime run kata-nginx
|
常见问题解答
Q: 为什么Kubernetes移除了Docker支持?
A:
- Docker包含了过多K8s不需要的功能
- CRI标准化后,专用Runtime更高效
- containerd提供了更好的性能和稳定性
- 简化了Kubernetes的维护复杂度
Q: 容器和虚拟机的区别?
A:
- 隔离级别: 容器进程级别,VM硬件级别
- 资源开销: 容器轻量,VM重量级
- 启动速度: 容器秒级,VM分钟级
- 安全性: VM更强,容器适中
Q: 如何选择合适的Container Runtime?
A:
- 性能要求: containerd适合高性能场景
- 安全要求: gVisor/Kata适合多租户
- 兼容性: 考虑现有工具链兼容
- 维护成本: 评估运维复杂度
这是Kubernetes核心组件学习系列文章。
系列文章导航: