Containerd

作者 | 易立 阿里云资深技术专家 containerd 是一个开源的行业标准容器运行时，关注于简单、稳定和可移植，同时支持 Linux 和 Windows。 2016 年 12 月 14 日，Docker 公司宣布将 Docker Engine 的核心组件 containerd 捐赠到一个新的开源社区独立发展和运营。阿里云、AWS、 Google、IBM 和 Microsoft 作为初始成员，共同建设 containerd 社区； 2017 年 3 月，Docker 将 containerd 捐献给 CNCF（云原生计算基金会）。containerd 得到了快速的发展和广泛的支持； Docker 引擎已经将 containerd 作为容器生命周期管理的基础，Kubernetes 也在 2018 年 5 月，正式支持 containerd 作为容器运行时管理器； 2019 年 2 月，CNCF 宣布 containerd 毕业，成为生产可用的项目。 containerd 从 1.1 版本开始就已经内置了 Container Runtime Interface (CRI) 支持，进一步简化了对 Kubernetes 的支持。其架构图如下： 在 Kubernetes 场景下，containerd 与完整 Docker Engine 相比，具有更少的资源占用和更快的启动速度。 图片来源：

一、容器与镜像 什么是容器？ 在介绍容器的具体概念之前，先简单回顾一下操作系统是如何管理进程的。 首先，当我们登录到操作系统之后，可以通过 ps 等操作看到各式各样的进程，这些进程包括系统自带的服务和用户的应用进程。那么，这些进程都有什么样的特点？ 第一，这些进程可以相互看到、相互通信； 第二，它们使用的是同一个文件系统，可以对同一个文件进行读写操作； 第三，这些进程会使用相同的系统资源。 这样的三个特点会带来什么问题呢？ 因为这些进程能够相互看到并且进行通信，高级权限的进程可以攻击其他进程； 因为它们使用的是同一个文件系统，因此会带来两个问题：这些进程可以对于已有的数据进行增删改查，具有高级权限的进程可能会将其他进程的数据删除掉，破坏掉其他进程的正常运行；此外，进程与进程之间的依赖可能会存在冲突，如此一来就会给运维带来很大的压力； 因为这些进程使用的是同一个宿主机的资源，应用之间可能会存在资源抢占的问题，当一个应用需要消耗大量 CPU 和内存资源的时候，就可能会破坏其他应用的运行，导致其他应用无法正常地提供服务。 针对上述的三个问题，如何为进程提供一个独立的运行环境呢？ 针对不同进程使用同一个文件系统所造成的问题而言，Linux 和 Unix 操作系统可以通过 chroot 系统调用将子目录变成根目录，达到视图级别的隔离；进程在 chroot 的帮助下可以具有独立的文件系统

一、容器与镜像 什么是容器？ 在介绍容器的具体概念之前，先简单回顾一下操作系统是如何管理进程的。 首先，当我们登录到操作系统之后，可以通过 ps 等操作看到各式各样的进程，这些进程包括系统自带的服务和用户的应用进程。那么，这些进程都有什么样的特点？ 第一，这些进程可以相互看到、相互通信； 第二，它们使用的是同一个文件系统，可以对同一个文件进行读写操作； 第三，这些进程会使用相同的系统资源。 这样的三个特点会带来什么问题呢？ 因为这些进程能够相互看到并且进行通信，高级权限的进程可以攻击其他进程； 因为它们使用的是同一个文件系统，因此会带来两个问题：这些进程可以对于已有的数据进行增删改查，具有高级权限的进程可能会将其他进程的数据删除掉，破坏掉其他进程的正常运行；此外，进程与进程之间的依赖可能会存在冲突，如此一来就会给运维带来很大的压力； 因为这些进程使用的是同一个宿主机的资源，应用之间可能会存在资源抢占的问题，当一个应用需要消耗大量 CPU 和内存资源的时候，就可能会破坏其他应用的运行，导致其他应用无法正常地提供服务。 针对上述的三个问题，如何为进程提供一个独立的运行环境呢？ 针对不同进程使用同一个文件系统所造成的问题而言，Linux 和 Unix 操作系统可以通过 chroot 系统调用将子目录变成根目录，达到视图级别的隔离；进程在 chroot 的帮助下可以具有独立的文件系统

作者| 阿里巴巴高级开发工程师 傅伟 一、容器与镜像 什么是容器？ 在介绍容器的具体概念之前，先简单回顾一下操作系统是如何管理进程的。 首先，当我们登录到操作系统之后，可以通过 ps 等操作看到各式各样的进程，这些进程包括系统自带的服务和用户的应用进程。那么，这些进程都有什么样的特点？ 第一，这些进程可以相互看到、相互通信； 第二，它们使用的是同一个文件系统，可以对同一个文件进行读写操作； 第三，这些进程会使用相同的系统资源。 这样的三个特点会带来什么问题呢？ 因为这些进程能够相互看到并且进行通信，高级权限的进程可以攻击其他进程； 因为它们使用的是同一个文件系统，因此会带来两个问题：这些进程可以对于已有的数据进行增删改查，具有高级权限的进程可能会将其他进程的数据删除掉，破坏掉其他进程的正常运行；此外，进程与进程之间的依赖可能会存在冲突，如此一来就会给运维带来很大的压力； 因为这些进程使用的是同一个宿主机的资源，应用之间可能会存在资源抢占的问题，当一个应用需要消耗大量 CPU 和内存资源的时候，就可能会破坏其他应用的运行，导致其他应用无法正常地提供服务。 针对上述的三个问题，如何为进程提供一个独立的运行环境呢？ 针对不同进程使用同一个文件系统所造成的问题而言，Linux 和 Unix 操作系统可以通过 chroot 系统调用将子目录变成根目录，达到视图级别的隔离；进程在 chroot

概念介绍 cri (Container runtime interface) cri is a containerd plugin implementation of Kubernetes container runtime interface (CRI). cri是 kubernetes的容器运行时接口的容器插件实现。 containerd containerd is an industry-standard container runtime with an emphasis on simplicity, robustness and portability. containerd完全支持运行容器的的CRI运行时规范。 cri在containerd1.1以上的版本的原生插件。它内置于containerd并默认启用。 cri-o OCI-based implementation of Kubernetes Container Runtime Interface. kubernetes为了兼容cri和oci孵化了项目cri-o。为了架设在cri和oci之间的一座桥梁。由此cri-o既兼容cri插件实现又兼容oci的容器运行时标准。 oci (Open Container Initiative) oci是由多家公司成立的项目,并由 linux 基金会进行管理,致力于container

作者 | 易立 阿里云资深技术专家 containerd 是一个开源的行业标准容器运行时，关注于简单、稳定和可移植，同时支持 Linux 和 Windows。 2016 年 12 月 14 日，Docker 公司宣布将 Docker Engine 的核心组件 containerd 捐赠到一个新的开源社区独立发展和运营。阿里云、AWS、 Google、IBM 和 Microsoft 作为初始成员，共同建设 containerd 社区； 2017 年 3 月，Docker 将 containerd 捐献给 CNCF（云原生计算基金会）。containerd 得到了快速的发展和广泛的支持； Docker 引擎已经将 containerd 作为容器生命周期管理的基础，Kubernetes 也在 2018 年 5 月，正式支持 containerd 作为容器运行时管理器； 2019 年 2 月，CNCF 宣布 containerd 毕业，成为生产可用的项目。 containerd 从 1.1 版本开始就已经内置了 Container Runtime Interface (CRI) 支持，进一步简化了对 Kubernetes 的支持。其架构图如下： 在 Kubernetes 场景下，containerd 与完整 Docker Engine 相比，具有更少的资源占用和更快的启动速度。 图片来源：