自 Docker 開啟了使用容器的爆發(fā)式增長，有越來越多的工具和標準來幫助管理和使用這項容器化技術，與此同時也造成了有很多術語讓人感到困惑。

容器生態(tài)系統(tǒng)

容器生態(tài)系統(tǒng)是由許多令人興奮的技術、大量的專業(yè)術語和大公司相互爭斗組成的。

幸運的是，這些公司偶爾會在休戰(zhàn)中走到一起合作，商定一些標準，這些標準有助于使這個生態(tài)系統(tǒng)在不同的平臺和操作系統(tǒng)之間更具互操作性，并減少對單一公司或項目的依賴。

這張圖顯示了 Docker、Kubernetes、CRI、OCI、containerd 和 runc 在這個生態(tài)系統(tǒng)中是如何結合的。

其工作流程簡單來說是這樣的：

1. Docker，Kubernetes 等工具來運行一個容器時會調(diào)用容器運行時（CRI）比如 containerd，CRI-O
2. 通過容器運行時來完成容器的創(chuàng)建、運行、銷毀等實際工作

• Docker 使用的是 containerd 作為其運行時；Kubernetes 支持 containerd，CRI-O 等多種容器運行時
• 這些容器運行時都遵循了 OCI 規(guī)范，并通過 runc 來實現(xiàn)與操作系統(tǒng)內(nèi)核交互來完成容器的創(chuàng)建和運行

下面就分別介紹圖中所提到的術語和規(guī)范。

Docker

首先我們從大家都很熟悉的 Docker 開始，因為它是管理容器的最流行的工具。對很多人來說"Docker"這個名字本身就是"容器"的代名詞。

Docker 啟動了整個容器的革命，它創(chuàng)造了一個很好用的工具來處理容器也叫 Docker，這里最主要的要明白：

• Docker 并不是這個唯一的容器競爭者
• 容器也不再與 Docker 這個名字緊密聯(lián)系在一起

目前的容器工具中，Docker 只是其中之一，其他著名的容器工具還包括：Podman[1]，LXC[2]，containerd[3]，Buildah[4] 等。

因此，如果你認為容器只是關于 Docker 的，那是片面的不對的。

Docker 組成

Docker 可以輕松地構建容器鏡像，從 Docker Hub 中拉取鏡像，創(chuàng)建、啟動和管理容器。實際上，當你用 Docker 運行一個容器時實際上是通過 Docker 守護程序、containerd 和 runc 來運行它。

為了實現(xiàn)這一切，Docker 是由這些項目組成（還有其他項目，但這些是主要的）。

• docker-cli：這是一個命令行工具，它是用來完成 docker pull, build, run, exec 等命令進行交互。
• containerd：這是一個管理和運行容器的守護進程。它推送和拉動鏡像，管理存儲和網(wǎng)絡，并監(jiān)督容器的運行。
• runc：這是低級別的容器運行時間（實際創(chuàng)建和運行容器的東西）。它包括 libcontainer，一個用于創(chuàng)建容器的基于 Go 的本地實現(xiàn)。

Docker 鏡像

許多人所說的 Docker 鏡像，實際上是以 Open Container Initiative（OCI）格式打包的鏡像。

因此，如果你從 Docker Hub 或其他注冊中心拉出一個鏡像，你應該能夠用 docker 命令使用它，或在 Kubernetes 集群上使用，或用 podman 工具以及任何其他支持 OCI 鏡像格式規(guī)范的工具。

Dockershim

在 Kubernetes 包括一個名為 dockershim 的組件，使它能夠支持 Docker。但 Docker 由于比 Kubernetes 更早，沒有實現(xiàn) CRI，所以這就是 dockershim 存在的原因，它支持將 Docker 被硬編碼到 Kubernetes 中。隨著容器化成為行業(yè)標準，Kubernetes 項目增加了對額外運行時的支持，比如通過 Container Runtime Interface (CRI) 容器運行時接口來支持運行容器。因此 dockershim 成為了 Kubernetes 項目中的一個異類，對 Docker 和 dockershim 的依賴已經(jīng)滲透到云原生計算基金會（CNCF）生態(tài)系統(tǒng)中的各種工具和項目中，導致代碼脆弱。

2022 年 4 月 dockershim 將會從 Kubernetes 1.24 中完全移除。今后 Kubernetes 將取消對 Docker 的直接支持，而傾向于只使用實現(xiàn)其容器運行時接口的容器運行時，這可能意味著使用 containerd 或 CRI-O。這并不意味著 Kubernetes 將不能運行 Docker 格式的容器。containerd 和 CRI-O 都可以運行 Docker 格式（實際上是 OCI 格式）的鏡像，它們只是無需使用 docker 命令或 Docker 守護程序。

Container Runtime Interface (CRI)

CRI（容器運行時接口）是 Kubernetes 用來控制創(chuàng)建和管理容器的不同運行時的 API，它使 Kubernetes 更容易使用不同的容器運行時。它一個插件接口，這意味著任何符合該標準實現(xiàn)的容器運行時都可以被 Kubernetes 所使用。

Kubernetes 項目不必手動添加對每個運行時的支持，CRI API 描述了 Kubernetes 如何與每個運行時進行交互，由運行時決定如何實際管理容器，因此只要它遵守 CRI 的 API 即可。

你可以使用你喜歡的 containerd 來運行你的容器，也可以使用 CRI-O 來運行你的容器，因為這兩個運行時都實現(xiàn)了 CRI 規(guī)范。

containerd

containerd 是一個來自 Docker 的高級容器運行時，并實現(xiàn)了 CRI 規(guī)范。它是從 Docker 項目中分離出來，之后 containerd 被捐贈給云原生計算基金會（CNCF）為容器社區(qū)提供創(chuàng)建新容器解決方案的基礎。

所以 Docker 自己在內(nèi)部使用 containerd，當你安裝 Docker 時也會安裝 containerd。

containerd 通過其 CRI 插件實現(xiàn)了 Kubernetes 容器運行時接口（CRI），它可以管理容器的整個生命周期，包括從鏡像的傳輸、存儲到容器的執(zhí)行、監(jiān)控再到網(wǎng)絡。

到此這篇關于Docker和 Containerd 的區(qū)別的文章就介紹到這了,更多相關Docker和 Containerd內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論