自 Docker 開(kāi)啟了使用容器的爆發(fā)式增長(zhǎng)，有越來(lái)越多的工具和標(biāo)準(zhǔn)來(lái)幫助管理和使用這項(xiàng)容器化技術(shù)，與此同時(shí)也造成了有很多術(shù)語(yǔ)讓人感到困惑。

容器生態(tài)系統(tǒng)

容器生態(tài)系統(tǒng)是由許多令人興奮的技術(shù)、大量的專業(yè)術(shù)語(yǔ)和大公司相互爭(zhēng)斗組成的。

幸運(yùn)的是，這些公司偶爾會(huì)在休戰(zhàn)中走到一起合作，商定一些標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)有助于使這個(gè)生態(tài)系統(tǒng)在不同的平臺(tái)和操作系統(tǒng)之間更具互操作性，并減少對(duì)單一公司或項(xiàng)目的依賴。

這張圖顯示了 Docker、Kubernetes、CRI、OCI、containerd 和 runc 在這個(gè)生態(tài)系統(tǒng)中是如何結(jié)合的。

其工作流程簡(jiǎn)單來(lái)說(shuō)是這樣的：

1. Docker，Kubernetes 等工具來(lái)運(yùn)行一個(gè)容器時(shí)會(huì)調(diào)用容器運(yùn)行時(shí)（CRI）比如 containerd，CRI-O
2. 通過(guò)容器運(yùn)行時(shí)來(lái)完成容器的創(chuàng)建、運(yùn)行、銷毀等實(shí)際工作

• Docker 使用的是 containerd 作為其運(yùn)行時(shí)；Kubernetes 支持 containerd，CRI-O 等多種容器運(yùn)行時(shí)
• 這些容器運(yùn)行時(shí)都遵循了 OCI 規(guī)范，并通過(guò) runc 來(lái)實(shí)現(xiàn)與操作系統(tǒng)內(nèi)核交互來(lái)完成容器的創(chuàng)建和運(yùn)行

下面就分別介紹圖中所提到的術(shù)語(yǔ)和規(guī)范。

Docker

首先我們從大家都很熟悉的 Docker 開(kāi)始，因?yàn)樗枪芾砣萜鞯淖盍餍械墓ぞ摺?duì)很多人來(lái)說(shuō)"Docker"這個(gè)名字本身就是"容器"的代名詞。

Docker 啟動(dòng)了整個(gè)容器的革命，它創(chuàng)造了一個(gè)很好用的工具來(lái)處理容器也叫 Docker，這里最主要的要明白：

• Docker 并不是這個(gè)唯一的容器競(jìng)爭(zhēng)者
• 容器也不再與 Docker 這個(gè)名字緊密聯(lián)系在一起

目前的容器工具中，Docker 只是其中之一，其他著名的容器工具還包括：Podman[1]，LXC[2]，containerd[3]，Buildah[4] 等。

因此，如果你認(rèn)為容器只是關(guān)于 Docker 的，那是片面的不對(duì)的。

Docker 組成

Docker 可以輕松地構(gòu)建容器鏡像，從 Docker Hub 中拉取鏡像，創(chuàng)建、啟動(dòng)和管理容器。實(shí)際上，當(dāng)你用 Docker 運(yùn)行一個(gè)容器時(shí)實(shí)際上是通過(guò) Docker 守護(hù)程序、containerd 和 runc 來(lái)運(yùn)行它。

為了實(shí)現(xiàn)這一切，Docker 是由這些項(xiàng)目組成（還有其他項(xiàng)目，但這些是主要的）。

• docker-cli：這是一個(gè)命令行工具，它是用來(lái)完成 docker pull, build, run, exec 等命令進(jìn)行交互。
• containerd：這是一個(gè)管理和運(yùn)行容器的守護(hù)進(jìn)程。它推送和拉動(dòng)鏡像，管理存儲(chǔ)和網(wǎng)絡(luò)，并監(jiān)督容器的運(yùn)行。
• runc：這是低級(jí)別的容器運(yùn)行時(shí)間（實(shí)際創(chuàng)建和運(yùn)行容器的東西）。它包括 libcontainer，一個(gè)用于創(chuàng)建容器的基于 Go 的本地實(shí)現(xiàn)。

Docker 鏡像

許多人所說(shuō)的 Docker 鏡像，實(shí)際上是以 Open Container Initiative（OCI）格式打包的鏡像。

因此，如果你從 Docker Hub 或其他注冊(cè)中心拉出一個(gè)鏡像，你應(yīng)該能夠用 docker 命令使用它，或在 Kubernetes 集群上使用，或用 podman 工具以及任何其他支持 OCI 鏡像格式規(guī)范的工具。

Dockershim

在 Kubernetes 包括一個(gè)名為 dockershim 的組件，使它能夠支持 Docker。但 Docker 由于比 Kubernetes 更早，沒(méi)有實(shí)現(xiàn) CRI，所以這就是 dockershim 存在的原因，它支持將 Docker 被硬編碼到 Kubernetes 中。隨著容器化成為行業(yè)標(biāo)準(zhǔn)，Kubernetes 項(xiàng)目增加了對(duì)額外運(yùn)行時(shí)的支持，比如通過(guò) Container Runtime Interface (CRI) 容器運(yùn)行時(shí)接口來(lái)支持運(yùn)行容器。因此 dockershim 成為了 Kubernetes 項(xiàng)目中的一個(gè)異類，對(duì) Docker 和 dockershim 的依賴已經(jīng)滲透到云原生計(jì)算基金會(huì)（CNCF）生態(tài)系統(tǒng)中的各種工具和項(xiàng)目中，導(dǎo)致代碼脆弱。

2022 年 4 月 dockershim 將會(huì)從 Kubernetes 1.24 中完全移除。今后 Kubernetes 將取消對(duì) Docker 的直接支持，而傾向于只使用實(shí)現(xiàn)其容器運(yùn)行時(shí)接口的容器運(yùn)行時(shí)，這可能意味著使用 containerd 或 CRI-O。這并不意味著 Kubernetes 將不能運(yùn)行 Docker 格式的容器。containerd 和 CRI-O 都可以運(yùn)行 Docker 格式（實(shí)際上是 OCI 格式）的鏡像，它們只是無(wú)需使用 docker 命令或 Docker 守護(hù)程序。

Container Runtime Interface (CRI)

CRI（容器運(yùn)行時(shí)接口）是 Kubernetes 用來(lái)控制創(chuàng)建和管理容器的不同運(yùn)行時(shí)的 API，它使 Kubernetes 更容易使用不同的容器運(yùn)行時(shí)。它一個(gè)插件接口，這意味著任何符合該標(biāo)準(zhǔn)實(shí)現(xiàn)的容器運(yùn)行時(shí)都可以被 Kubernetes 所使用。

Kubernetes 項(xiàng)目不必手動(dòng)添加對(duì)每個(gè)運(yùn)行時(shí)的支持，CRI API 描述了 Kubernetes 如何與每個(gè)運(yùn)行時(shí)進(jìn)行交互，由運(yùn)行時(shí)決定如何實(shí)際管理容器，因此只要它遵守 CRI 的 API 即可。

你可以使用你喜歡的 containerd 來(lái)運(yùn)行你的容器，也可以使用 CRI-O 來(lái)運(yùn)行你的容器，因?yàn)檫@兩個(gè)運(yùn)行時(shí)都實(shí)現(xiàn)了 CRI 規(guī)范。

containerd

containerd 是一個(gè)來(lái)自 Docker 的高級(jí)容器運(yùn)行時(shí)，并實(shí)現(xiàn)了 CRI 規(guī)范。它是從 Docker 項(xiàng)目中分離出來(lái)，之后 containerd 被捐贈(zèng)給云原生計(jì)算基金會(huì)（CNCF）為容器社區(qū)提供創(chuàng)建新容器解決方案的基礎(chǔ)。

所以 Docker 自己在內(nèi)部使用 containerd，當(dāng)你安裝 Docker 時(shí)也會(huì)安裝 containerd。

containerd 通過(guò)其 CRI 插件實(shí)現(xiàn)了 Kubernetes 容器運(yùn)行時(shí)接口（CRI），它可以管理容器的整個(gè)生命周期，包括從鏡像的傳輸、存儲(chǔ)到容器的執(zhí)行、監(jiān)控再到網(wǎng)絡(luò)。

到此這篇關(guān)于Docker和 Containerd 的區(qū)別的文章就介紹到這了,更多相關(guān)Docker和 Containerd內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論