K8s 容器运行时从 Docker 切换到 containerd

一、引言

在容器化技术的世界里,Kubernetes(K8s)无疑是最具影响力的编排工具之一。而容器运行时作为 K8s 的关键组成部分,对于容器的创建、运行和管理起着至关重要的作用。Docker 曾经是 K8s 中最常用的容器运行时,但随着技术的发展,containerd 逐渐崭露头角,并成为越来越多用户的选择。本文将深入探讨 K8s 容器运行时从 Docker 切换到 containerd 的原因、过程和优势,并详细介绍具体的操作步骤。

二、Docker 与 containerd 的简介

1. Docker

  • Docker 是一个开源的容器化平台,它提供了一种便捷的方式来创建、部署和运行容器。Docker 通过使用镜像来打包应用程序及其依赖项,使得应用程序可以在不同的环境中快速部署和运行。
  • Docker 的架构包括 Docker 引擎、Docker 镜像、Docker 容器和 Docker 仓库等组件。Docker 引擎是核心组件,负责创建和管理容器。Docker 镜像则是容器的模板,包含了应用程序及其依赖项。Docker 容器是运行中的实例,由 Docker 引擎根据镜像创建。Docker 仓库用于存储和分发镜像。

    2. containerd

  • containerd 是一个工业级的容器运行时,它专注于容器的运行时管理,提供了高效、可靠的容器运行环境。containerd 被设计为可嵌入到其他系统中,如 Kubernetes,以提供容器运行时的功能。
  • containerd 的架构相对简单,主要由 containerd 守护进程和 containerd-shim 进程组成。containerd 守护进程负责管理容器的生命周期,包括创建、启动、停止和删除容器。containerd-shim 进程则负责在容器运行时与容器进行交互,确保容器的隔离性和安全性。

三、为什么要从 Docker 切换到 containerd

1.更好的性能和资源利用率

  • containerd 被设计为轻量级的容器运行时,相比 Docker 具有更好的性能和资源利用率。containerd 直接与 Linux 内核的容器技术(如 cgroups 和 namespaces)进行交互,减少了中间层的开销,从而提高了容器的启动速度和运行效率。
  • 此外,containerd 对资源的管理更加精细,可以更好地控制容器的内存、CPU 和磁盘使用,提高资源的利用率。

    2. 更紧密的与 Kubernetes 集成

  • Kubernetes 从 1.20 版本开始,默认的容器运行时从 Docker 切换到了 containerd。这意味着 Kubernetes 与 containerd 的集成更加紧密,可以更好地利用 containerd 的特性和功能。
  • 例如,Kubernetes 可以通过 containerd 的 CRI(Container Runtime Interface)实现对容器的更精细的管理,包括容器的健康检查、资源限制和日志收集等。

3. 更好的安全性

  • containerd 提供了更强大的安全功能,包括容器的隔离性、访问控制和安全策略等。containerd 通过使用 Linux 内核的安全机制,如 seccomp 和 AppArmor,来限制容器的权限,提高容器的安全性。
  • 此外,containerd 还支持多种安全认证方式,如 TLS 和 OAuth2,可以确保容器的通信安全。

    4. 更好的可扩展性和灵活性

  • containerd 是一个可扩展的容器运行时,可以通过插件的方式来扩展其功能。用户可以根据自己的需求,开发和安装自定义的插件,以满足特定的业务需求。
  • 同时,containerd 也支持多种容器格式,如 OCI(Open Container Initiative)和 Docker 镜像格式,使得用户可以在不同的容器生态系统中进行选择和切换。

    四、切换过程

    1. 评估和准备

  • 在进行切换之前,首先需要对当前的环境进行评估,确定切换的可行性和影响。评估的内容包括:
    • 现有应用程序对 Docker 的依赖程度。
    • 容器的数量和规模。
    • 网络和存储配置。
    • 监控和日志系统。
  • 根据评估结果,制定切换计划,包括切换的时间、步骤和风险应对措施。同时,还需要准备好切换所需的工具和资源,如 containerd 的安装包、配置文件和文档等。

    2. 安装和配置 containerd

  • 安装 containerd 可以通过多种方式进行,如使用包管理器、二进制安装或容器化安装等。具体的安装方法可以根据不同的操作系统和环境进行选择。以下是在 Ubuntu 系统上使用包管理器安装 containerd 的步骤:
  • 更新软件包列表:
    apt update 
apt install containerd
    在安装完成后,需要对 containerd 进行配置,以满足特定的业务需求。配置的内容包括:
  • 容器存储驱动。containerd 支持多种存储驱动,如 overlay2、aufs 等。可以根据实际情况选择合适的存储驱动。
  • 网络配置。可以配置 containerd 使用的网络插件,如 CNI(Container Network Interface)插件。
  • 安全认证方式。可以配置 containerd 使用的安全认证方式,如 TLS 和 OAuth2。
  • 日志收集和监控配置。可以配置 containerd 的日志收集和监控方式,如使用 Prometheus 和 Grafana 进行监控。

1. 迁移容器和镜像

  • 在切换过程中,需要将现有的容器和镜像从 Docker 迁移到 containerd。迁移的方法可以根据不同的情况进行选择,如:
    • 对于正在运行的容器,可以使用 Kubernetes 的滚动更新功能,逐步将容器从 Docker 切换到 containerd。具体步骤如下:
  • 修改 Kubernetes 集群中节点的 kubelet 配置文件,将容器运行时从 Docker 切换到 containerd。
  • 使用 kubectl 命令逐步更新 Deployment、StatefulSet 等资源对象,使容器在更新过程中使用 containerd 运行时。
  • 对于离线的容器和镜像,可以使用工具如 skopeo 进行迁移。以下是使用 skopeo 迁移 Docker 镜像到 containerd 的步骤:
apt install skopeo   - 查找要迁移的 Docker 镜像的名称和标签:docker images   - 使用 skopeo 命令将 Docker 镜像复制到 containerd 存储库:skopeo copy docker://docker-image-name:tag docker-daemon://containers-storage:containers-storage:tag
  • 在迁移过程中,需要注意容器和镜像的兼容性问题,确保迁移后的容器可以正常运行。

    1. 测试和验证

在完成迁移后,需要对新的容器运行时进行测试和验证,确保其功能和性能符合预期。测试的内容包括:

  • 容器的创建、启动、停止和删除。
  • 容器的网络和存储功能。
  • 容器的资源限制和监控功能。
  • 应用程序的兼容性和稳定性。
    如果发现问题,需要及时进行排查和修复,确保切换的顺利进行。

    2. 切换和监控

    在测试和验证通过后,可以正式将容器运行时从 Docker 切换到 containerd。切换的方法可以根据不同的环境进行选择,如:

  • -对于 Kubernetes 集群,可以通过修改 kubelet 的配置文件,将容器运行时从 Docker 切换到 containerd。具体步骤如下:
  • -编辑 kubelet 配置文件,将容器运行时设置为 containerd:
 vi /var/lib/kubelet/config.yaml

在文件中找到 containerRuntime 字段,将其值设置为 containerd。

  • 重启 kubelet 服务:
sudo systemctl restart kubelet

对于独立的容器运行环境,可以直接停止 Docker 服务,启动 containerd 服务。