当前位置：首页 > news >正文

K8S集群将Docker切换到Containerd

news 2025/10/20 13:54:07

文章目录

1. 开启节点维护
- 1.1 将节点设置成不可调度
- 1.2 驱逐节点上的 Pod
- 1.3 停止相关服务
2. 升级到 containerd
- 2.1 安装 containerd
- 2.2 调整 containerd 配置
- 2.3 修改 kubelet 启动配置参数
3. 重启节点服务
4. 验证升级后的节点
5. 容器管理工具
- 5.1 容器管理命令行工具对比
- 5.2 crictl 命令行工具安装
6. 总结

1. 开启节点维护

开启节点维护，目的是将待维护节点上通过 Deployment 部署的 Pod 驱离该节点，使其在另外的正常节点上运行，从而保障服务的连续性。但是如果我们服务的实例个数是1时，当服务被驱离时，服务将会中断，服务的连续性将无法得到保障，需要等待服务在另外的节点上运行启动后，服务才能恢复。所以，生产环境为了不影响正常的业务运行，最好能够将服务的实例数最小设置2个实例。

1.1 将节点设置成不可调度

kubectl cordon k8s-node1

查看节点的状态是否被设置成了不可调度状态
在这里插入图片描述
如上图 k8s-node1 节点已经被设置成了不可调度状态。

1.2 驱逐节点上的 Pod

kubectl drain k8s-node1 --ignore-daemonsets

在这里插入图片描述
执行完上述命令后，k8s-node1 节点上除了 daemon set 启动的 Pod 外，通过 deployment 启动的 Pod 都会被驱离到其他可调度的节点上重新启动。

通过将待升级的节点设置成维护模式，从而保障业务服务能够在集群升级过程中正常的提供服务。

1.3 停止相关服务

systemctl stop kubelet
systemctl stop containerd
systemctl disable docker
systemctl stop docker
systemctl disable cri-docker
systemctl stop cri-docker

2. 升级到 containerd

2.1 安装 containerd

卸载 docker 相关功能

yum remove docker docker-client ocker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine docker-ce

安装或升级 containerd 服务

yum install containerd

2.2 调整 containerd 配置

导出默认配置

containerd config default > /etc/containerd/config.toml

编辑 /etc/containerd/config.toml 文件

    sandbox_image = "registry.k8s.io/pause:3.6"替换成sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.6"

	[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]SystemdCgroup = false替换成[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]SystemdCgroup = true

添加国内镜像仓库，这个非常关键，否则将会导致镜像下载失败，Pod中服务无法启动。

    [plugins."io.containerd.grpc.v1.cri".registry]......[plugins."io.containerd.grpc.v1.cri".registry.mirrors]在containerd 配置文件中找到上边内容，并在此处添加下边两行, 注意缩进，下边两行内容与上边一行有2个空格的缩进，下边两行内容之间也存在2个空格的缩进。[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]endpoint = ["http://hub-mirror.c.163.com","https://docker.mirrors.ustc.edu.cn","https://registry.docker-cn.com"]

2.3 修改 kubelet 启动配置参数

在 kubelet 启动文件中添加或修改下边两个变量的参数值

--container-runtime=remote 
--container-runtime-endpoint=unix:///run/containerd/containerd.sock

3. 重启节点服务

重启 containerd 服务

systemctl daemon-reload 
systemctl enable containerd
systemctl start containerd

查看 containerd 服务启动状态

systemctl status containerd

在这里插入图片描述

重新启动 kubelet

systemctl start kubelet

查看 kubelet 服务状态

systemctl status kubelet

在这里插入图片描述

取消节点维护状态

kubectl uncordon k8s-node1

查看节点信息

kubectl get nodes -o wide

在这里插入图片描述
如上图中 k8s-node1 节点已经变成 Ready 状态，并且 CONTAINER-RUNTIME 已经变成了 containerd://1.6.18。表示 k8s-node1 节点已经从 docker 容器切换成 containerd 容器。

4. 验证升级后的节点

如果 calico-node 采用 daemon set 的方式部署，那么当k8s节点升级 containerd 容器运行时后，重启 containerd 和 kubelet 之后，calico-node 将会在升级后的节点上重新运行，可通过查看升级后节点是否成功启动 calico-node 的Pod来判断节点是否升级成功。
在这里插入图片描述

如上图所示，k8s-node1 节点上的 calico cni Pod 正在自动部署。如下图所示，k8s-node1 节点上的 calico-node Pod已经成功运行起来。

在这里插入图片描述

5. 容器管理工具

5.1 容器管理命令行工具对比

功能	docker	ctr	crictl
查看容器列表	docker ps	ctr -n k8s.io c ls	crictl ps
容器内执行命令	docker exec	-	crictl exec
挂载容器	docker attach	-	crictl attach
拉取镜像	docker pull	ctr -n k8s.io i pull	crictl pull
推送镜像	docker push	ctr -n k8s.io i push	-
删除镜像	docker rmi	-	crictl rmi

使用 containerd 替代 docker 作为 k8s 的容器运行时之后，docker 命令行工具需要通过 ctr 或 crictl 来替换。ctr 是 containerd 提供的容器管理命令行工具，但是 ctr 相较于 crictl 功能相对较弱，所以，当 docker 切换到 containerd 之后，建议使用 crictl 命令行工具来管理容器，使用 crictl 命令行工具需要另行安装。

containerd 存储 k8s 相关的数据在 k8s.io 空间中，默认情况下使用 ctr 操作的是 default 空间的数据。所以，如果想要在 k8s 中使用 containerd default 空间的数据，可以将 default 空间中的镜像导出，然后导入到 k8s.io 空间。

导出 default 空间中的镜像，例如导出 calico cni 镜像

ctr -n default images export --platform=linux/amd64 cni.tar.gz docker.io/calico/cni:v3.24.5

导入 calico cni 镜像到 k8s.io 空间

ctr -n k8s.io i import cni.tar.gz

5.2 crictl 命令行工具安装

crictl 源码地址

https://github.com/kubernetes-sigs/cri-tools/releases

下载 Linux x64 版本工具

wget https://github.com/kubernetes-sigs/cri-tools/releases/download/v1.26.0/crictl-v1.26.0-linux-amd64.tar.gz

解压并安装

tar -zxvf crictl-v1.26.0-linux-amd64.tar.gz -C /usr/local/bin

配置crictl参数

crictl config runtime-endpoint unix:///run/containerd/containerd.sock
crictl config image-endpoint unix:///run/containerd/containerd.sock

将会生成 /etc/crictl.yaml 配置文件。到此 crictl 命令行工具安装完成，以前通过 docker 命令操作的指令，后续可以使用 crictl 执行。

6. 总结

将 docker 容器运行时替换成 containerd 时，可以逐个节点进行替换，这样能够保证服务的连续性。
使用 containerd 替换 docker 后，对于 k8s 1.20 以后的版本，不再需要 cri-docker 服务对 docker 容器运行时进行中转。
k8s 集群相关组件，只需要修改 kubelet 启动参数，不需要调整 kube-apiserver，kube-scheduler，kube-controller-manager，kube-proxy等组件。

文章目录

1. 开启节点维护

1.1 将节点设置成不可调度

1.2 驱逐节点上的 Pod

1.3 停止相关服务

2. 升级到 containerd

2.1 安装 containerd

2.2 调整 containerd 配置

2.3 修改 kubelet 启动配置参数

3. 重启节点服务

4. 验证升级后的节点

5. 容器管理工具

5.1 容器管理命令行工具对比

5.2 crictl 命令行工具安装

6. 总结

相关文章：