Kubernetes容器运行时：Containerd vs Docke

【介绍】：本文关于Kubernetes容器运行时比较：Containerd 与 Docker。

容器运行时(Container Runtime)是容器技术栈中的一个关键组件，它在Kubernetes中扮演着举足轻重的角色。本节将介绍容器运行时的基本概念，以及它在Kubernetes集群中所承担的主要职责。

在Kubernetes中，每个节点上都运行着一个名为Kubelet的核心组件。Kubelet负责管理节点上的Pod和容器，而这些管理操作需要通过特定的容器运行时来完成。容器运行时作为Kubelet和容器之间的桥梁，为Kubernetes提供了一系列不可或缺的功能：

1. 容器生命周期管理： 容器运行时负责管理容器的整个生命周期，包括容器的创建、启动、停止和删除等操作。当Kubelet需要创建或销毁Pod时，实际的容器管理操作就由容器运行时来执行。

2. 镜像管理： 容器运行时负责从镜像仓库拉取镜像，并管理节点上的本地镜像存储。当创建Pod时，容器运行时会检查所需的镜像是否已经存在，如果不存在则从指定的镜像仓库中拉取。

3. 容器文件系统和网络管理： 容器运行时为每个容器提供独立的文件系统和网络命名空间。它负责准备容器的根文件系统，挂载volumes，配置容器网络，并确保不同容器之间的文件系统和网络隔离。

4. 资源限制和安全隔离： 容器运行时负责为容器设置资源限制，如CPU和内存的使用限制。同时，它还要确保容器之间以及容器与宿主机之间的安全隔离，防止恶意容器破坏其他容器或者宿主机。

总之，容器运行时作为连接Kubernetes和底层容器实现的关键组件，提供了容器生命周期管理、镜像管理、存储和网络管理、资源隔离等多方面的支持，是Kubernetes能够管理和编排大规模容器集群的重要基石。

在Kubernetes的发展历程中，涌现出了多种容器运行时方案，它们在功能、性能和生态等方面各有特点。以下是两种最主流的容器运行时：

1. Docker： Docker是最早普及容器技术的引擎，在Kubernetes的早期版本中一度作为默认的容器运行时。Docker提供了强大的镜像构建、容器管理功能和丰富的工具生态，使得容器技术得以快速推广。然而，Docker作为一个完整的平台，其功能和体量都相对臃肿，会占用较多的系统资源。同时Docker的发展路线图与Kubernetes也不完全一致，给Kubernetes的版本迭代和适配带来了一定的挑战。

2. Containerd： Containerd是一个更加轻量级、标准化的容器运行时，它起源于Docker项目，后被剥离出

3. 来成为一个独立的开源项目。Containerd专注于提供简洁、可靠、高性能的容器执行引擎，遵循行业标准如OCI(Open Container Initiative)，为容器编排系统提供了更加可控、可移植的运行时选择。Containerd去除了Docker中许多面向终端用户的功能，如docker build、docker push等，转而专注于容器执行和管理等核心功能。这种专注使得Containerd在资源占用和稳定性方面都有了显著提升，逐渐成为Kubernetes社区推荐的容器运行时实现。

   从Kubernetes 1.20版本开始，Containerd已经成为了默认的容器运行时。众多Kubernetes发行版和托管服务也都开始以Containerd作为首选运行时。Containerd简洁而专一的设计，以及对OCI标准的原生支持，使其成为Kubernetes这样的大规模容器编排平台的理想选择。

   综上所述，容器运行时作为连接Kubernetes和实际容器实现的桥梁，其地位至关重要。Docker和Containerd代表了两种不同的技术路线：Docker功能丰富，生态完善，但略显臃肿;Containerd则专注容器核心功能，更加轻量和可控。随着Kubernetes的不断发展，以Containerd为代表的轻量级容器运行时正在成为主流选择。但Docker凭借其成熟的生态和强大的功能，在某些特定场景下仍然具有独特的价值。

   在选择容器运行时时，需要综合考虑稳定性、性能、资源占用等因素，权衡不同方案的优缺点，有时甚至可以混合使用，发挥各自的长处。无论选择何种容器运行时，其可靠性和性能都将直接影响到Kubernetes集群的整体运行状况，因此做出正确的选择至关重要。

要理解Containerd和Docker的关系，我们需要先了解Containerd的起源和发展历程，以及它在Docker架构中所处的位置。本节将深入探讨Containerd与Docker之间的渊源和演变。

Containerd最初是作为Docker的一个子组件而诞生的。在Docker的早期版本中，Containerd就已经存在，负责管理容器的生命周期。然而，随着Docker功能的不断丰富和版本的迭代，Containerd逐渐演变成了一个相对独立的组件。

2016年，Docker公司决定将Containerd从Docker中剥离出来，使其成为一个独立的开源项目。这一决定的主要目的是让Containerd专注于提供标准化的容器运行时和管理功能，而不是与Docker的其他功能耦合在一起。

作为一个独立的项目，Containerd的目标是提供一个简单、可靠、可移植的容器运行时，供上层的容器编排系统使用。Containerd遵循行业标准，如OCI(Open Container Initiative)，致力于成为Kubernetes等编排引擎的最佳运行时选择。

尽管Containerd已经成为一个独立的项目，但它仍然是Docker架构中不可或缺的一部分。了解Containerd在Docker中的位置，有助于我们理解二者的关系和各自的职责。

Docker是由多个组件构成的，主要包括：

• Docker-client：用户与Docker交互的命令行工具。
• Dockerd：Docker的核心守护进程，负责与Docker-client交互，并管理镜像、网络等资源。
• Containerd：负责管理容器的生命周期，如创建、启动、停止等。
• runc：一个轻量级的容器运行时，用于实际启动和运行容器。

在Docker的架构中，Containerd位于Dockerd和runc之间，起到了承上启下的作用：

• 对上，Containerd向Dockerd提供了管理容器生命周期的API。
• 对下，Containerd通过shim(如Containerd-shim)调用runc来实际创建和运行容器。

因此，Containerd是连接Docker上层组件和底层容器运行时的关键纽带。

Kubernetes最初是使用Dockershim这一适配器与Docker集成的。但随着Kubernetes的发展，社区决定弃用Dockershim，转而直接与更加轻量和标准化的容器运行时(如Containerd)集成。

Docker作为一个完整的容器平台，其版本更新频率和功能变化较快。这给Kubernetes的适配工作带来了困难。每当Docker发布新版本时，Kubernetes都需要相应地更新Dockershim，以保证兼容性。

Kubernetes作为一个容器编排平台，其实并不需要Docker提供的所有功能。Kubernetes更需要的是一个简单、可靠、易于集成的容器运行时。而Containerd正好满足了这一需求。它专注于容器的核心功能，去除了许多不必要的特性，从而更加轻量和高效。

因此，Kubernetes社区决定逐步弃用Dockershim，转而直接与Containerd等更加轻量级的容器运行时集成。这一决定不仅简化了Kubernetes的架构，也提高了其性能和稳定性。

综上所述，Containerd和Docker之间有着密不可分的关系。Containerd最初是Docker的一个子组件，后来演变成了一个独立的项目。尽管如此，它仍然是Docker架构中的关键组成部分，负责管理容器的生命周期。同时，由于Containerd更加轻量和标准化，它也逐渐成为了Kubernetes等容器编排平台的首选运行时。Kubernetes社区决定弃用Dockershim，转而直接与Containerd集成，就是基于这一考虑。

在Kubernetes中使用Containerd和Docker作为容器运行时，其内部的架构和调用链路有所不同。本节将深入分析这两种运行时在Kubernetes中的工作方式和流程。

当Docker作为Kubernetes的容器运行时时，其调用链路如下：

Kubelet -> Dockershim -> Dockerd -> Containerd

1. Kubelet： Kubelet是Kubernetes中每个节点上的核心组件，负责管理节点上的Pod和容器。

2. Dockershim： Dockershim是Kubernetes中的一个适配器组件，它位于Kubelet内部。Dockershim的作用是将Kubelet的容器管理请求翻译成Docker Daemon(Dockerd)能够理解的API调用。

3. Dockerd： Dockerd是Docker的核心守护进程，负责处理Dockershim的请求，并管理Docker镜像、网络和存储等资源。

4. Containerd： Containerd是一个独立的容器运行时，负责实际的容器生命周期管理，如创建、启动、停止和删除容器等操作。在这种架构下，Dockerd会将容器管理的任务委托给Containerd来执行。

可以看出，当使用Docker作为Kubernetes的容器运行时时，请求需要经过多个组件的转发和处理，调用链路相对较长。这种架构虽然能够兼容早期的Docker版本，但也引入了一些额外的复杂性和性能开销。

当Containerd作为Kubernetes的容器运行时时，其调用链路如下：

Kubelet -> cri plugin -> Containerd

1. Kubelet： 与使用Docker时一样，Kubelet负责管理节点上的Pod和容器。

2. CRI Plugin： CRI（Container Runtime Interface）是Kubernetes定义的一组标准接口，用于与容器运行时进行交互。当使用Containerd时，Kubelet通过内置的CRI插件直接与Containerd通信。CRI插件将Kubelet的请求转化为Containerd能够理解的gRPC调用。

3. Containerd： Containerd直接处理来自CRI插件的请求，管理容器的生命周期，并通过shim(如Containerd-shim)启动和管理容器。

相比于使用Docker，Containerd作为Kubernetes容器运行时的调用链路更加简洁直接。Kubelet通过CRI插件直接与Containerd通信，减少了中间组件的开销。这种架构更加轻量级，组件之间的耦合度更低，从而提高了整体的稳定性和性能。

通过对比Containerd和Docker在Kubernetes中的架构和调用链路，我们可以发现以下几点区别：

1. 调用链路长度： 使用Docker时，请求需要经过Dockershim、Dockerd等多个组件的转发，调用链路较长。而使用Containerd时，Kubelet通过CRI插件直接与Containerd通信，调用链路更加简洁。

2. 组件复杂度： Docker作为一个完整的容器平台，包含了许多Kubernetes不需要的功能，引入了额外的复杂性。而Containerd专注于容器运行时的核心功能，组件更加精简。

3. 资源占用：由于Docker包含了更多的组件和功能，因此其资源占用相对较高。Containerd作为一个轻量级的容器运行时，其资源占用更低，对系统的影响更小。

   4. 稳定性： 在使用Docker时，由于调用链路较长，涉及的组件较多，因此出现问题的概率相对较高。而Containerd的架构更加简洁，组件之间的耦合度更低，因此其稳定性通常更好。
   5. 升级和维护： Docker的版本更新频率较高，每次更新都可能引入新的特性和变化，这给Kubernetes的适配和维护工作带来了挑战。而Containerd的升级和维护相对更加容易，因为它的功能和接口更加稳定。

   总的来说，Containerd作为一个专门为容器编排设计的运行时，其架构更加简洁，调用链路更短，资源占用更低，稳定性更好。这些优势使得Containerd成为Kubernetes社区推荐的容器运行时选择。

   然而，这并不意味着Docker在Kubernetes中就完全没有用武之地。对于某些特定的场景，如需要使用Docker提供的特有功能(如docker build、docker push等)，或者需要与现有的Docker工作流集成时，使用Docker作为容器运行时仍然是一个可行的选择。

   此外，对于已经大规模使用Docker的Kubernetes集群，直接切换到Containerd可能会带来一定的迁移成本和风险。在这种情况下，可以考虑采用渐进式的迁移策略，如在新的节点或集群上使用Containerd，而在已有的节点上继续使用Docker，直到完全过渡到Containerd。

在Kubernetes中，容器的创建和网络管理是通过Pause容器和CNI插件来实现的。Pause容器为业务容器提供了网络命名空间，而CNI插件负责配置容器网络。Containerd和Docker在这两个方面有一些细微的区别。

在创建业务容器之前，Kubernetes会先创建一个名为Pause的特殊容器。Pause容器的主要作用是为业务容器提供网络命名空间，使同一Pod内的容器能够共享网络栈。Containerd和Docker在创建Pause容器时有一些不同：

1. Docker：当使用Docker作为容器运行时时，在创建Pause容器的过程中，Docker会自动关闭容器内的IPv6支持。具体来说，Docker会在容器的网络命名空间中将内核参数net.ipv6.conf.all.disable_ipv6设置为1。这意味着，在默认情况下，使用Docker创建的容器只能使用IPv4。

2. Containerd：而当使用Containerd作为容器运行时时，创建Pause容器的过程不会涉及关闭IPv6的操作。Containerd创建的Pause容器默认同时启用IPv4和IPv6。

这种差异可能会导致一些网络行为上的不同。例如，在使用Containerd时，如果集群启用了IPv6，那么Pod内的容器就可以直接使用IPv6进行通信。而在使用Docker时，即使集群启用了IPv6，Pod内的容器默认也只能使用IPv4通信。

在Kubernetes中，容器网络的配置是通过CNI（Container Network Interface）插件来实现的。CNI定义了一组标准接口，用于配置和管理容器的网络。Kubernetes在创建Pod时，会调用CNI插件为Pod配置网络。Containerd和Docker在CNI插件的调用方式上略有不同：

1. Docker：当使用Docker作为容器运行时时，CNI插件的调用是由Kubelet内部的Dockershim来完成的。具体来说，Dockershim会根据Kubelet的配置(如--cni-bin-dir和--cni-conf-dir参数)调用相应的CNI插件，为容器配置网络。

2. Containerd：当使用Containerd作为容器运行时时，CNI插件的调用是由Containerd内置的CRI插件来完成的。Containerd CRI插件会根据其配置文件(config.toml)中的cni部分，调用指定的CNI插件为容器配置网络。

尽管Containerd和Docker在CNI插件调用的实现细节上有所不同，但它们最终达到的效果是一致的，即为Pod内的容器配置正确的网络。

由于Containerd和Docker在Pause容器创建和CNI插件调用方面存在一些差异，这可能会导致某些网络配置和行为上的不同。以下是一些主要的差异和影响：

1. IPv6支持：如前所述，使用Docker创建的容器默认只启用IPv4，而使用Containerd创建的容器默认同时启用IPv4和IPv6。这意味着，在启用IPv6的集群中，使用Containerd可以直接利用IPv6进行Pod内部和Pod之间的通信，而使用Docker则需要额外的配置。

2. DNS解析：由于IPv6的启用状态不同，在某些情况下，Pod内的DNS解析行为可能会有所不同。例如，如果应用程序在进行DNS解析时，倾向于使用IPv6地址，那么在使用Docker时可能会遇到一些问题，因为Docker默认禁用了IPv6。

3. 网络性能：Containerd和Docker在网络性能上可能会有一些细微的差异，这主要取决于它们各自的网络栈实现和优化。一般来说，由于Containerd是为Kubernetes设计的，其网络性能可能会更好一些。但具体的性能差异需要通过基准测试来评估。

4. 网络插件兼容性：尽管Containerd和Docker都支持CNI标准，但它们对某些CNI插件的兼容性可能有所不同。在选择网络插件时，需要确保其与所使用的容器运行时兼容，并进行充分的测试。

容器日志是了解容器内应用运行状况的重要途径。在Kubernetes中，容器日志的管理方式因所使用的容器运行时而有所不同。本节将重点介绍Containerd和Docker在容器日志管理方面的异同。

容器日志的落盘，即将日志写入磁盘的过程，在Containerd和Docker中有所不同。

日志保留策略决定了容器日志在宿主机上的存储时间和占用空间。Containerd和Docker对日志保留策略的默认配置有所不同。

除了日志落盘责任和保留策略外，Containerd和Docker在日志路径和格式方面也有一些差异。

在Kubernetes中，容器的Exec（执行命令）和Probe（健康检查）是两个常用的功能。Containerd和Docker在实现这两个功能时略有不同，这可能会导致某些场景下的行为差异。本节将重点分析这两种容器运行时在Exec和Probe方面的区别。

容器Exec是指在容器运行时执行一个命令，通常用于调试、故障排查或一些特定的操作。在Kubernetes中，可以通过kubectl exec命令在容器内执行命令。

容器Probe是Kubernetes用于检查容器健康状态的机制，包括livenessProbe（存活探针）和readinessProbe（就绪探针）。这些探针可以通过执行命令、发送HTTP请求或检查TCP端口来判断容器的健康状态。

容器的启动（postStart）和停止（preStop）操作是通过Kubernetes的生命周期钩子（Lifecycle Hooks）来实现的。这些钩子可以在容器启动后或停止前执行一些自定义的操作，如数据初始化、资源清理等。

由于Docker和Containerd在Exec和Probe实现上的差异，可能会导致postStart和preStop操作的行为有所不同：

1. postStart操作：在Docker中，如果postStart操作执行完毕并退出，即使容器的主进程还没有启动，Kubernetes也会认为容器已经启动成功。但在Containerd中，只有当postStart操作创建的所有进程都退出后，Kubernetes才会继续启动容器的主进程。

2. preStop操作：在Docker中，如果preStop操作执行完毕并退出，即使容器的主进程还在运行，Kubernetes也会认为容器已经停止。但在Containerd中，只有当preStop操作创建的所有进程都退出后，Kubernetes才会继续停止容器的主进程。

   这些差异可能会导致容器启动或停止时的行为不一致，特别是当postStart或preStop操作中包含长时运行的命令时。

在Kubernetes集群中选择使用Containerd还是Docker作为容器运行时，需要综合考虑多方面因素。本节将从Kubernetes对运行时的要求出发，分析Containerd和Docker各自的优势和适用场景，并给出迁移到Containerd的一些注意事项。

Kubernetes作为一个大规模容器编排平台，对容器运行时有一些特定的要求：

1. 稳定性和性能：运行时需要能够稳定、高效地管理大量容器，及时响应Kubernetes的调度和管理请求。频繁的故障或性能瓶颈会直接影响整个集群的可用性。

2. 对OCI标准的支持：为了保证容器的可移植性和互操作性，Kubernetes希望运行时能够支持OCI(Open Container Initiative)标准。符合OCI标准的容器运行时可以无缝地与Kubernetes集成，降低了兼容性风险。

3. 尽量简洁，不需要过多特有功能：Kubernetes主要依赖运行时提供标准化的容器管理能力，并不需要运行时提供过多的特有功能。过于复杂的运行时反而可能带来更多的维护成本和不稳定因素。

相比于Docker，Containerd在满足Kubernetes需求方面有一些明显的优势：

1. 调用链更短，资源占用少，更稳定：如前文所述，使用Containerd时，Kubelet可以通过内置的CRI插件直接与Containerd通信。这种简洁的架构降低了系统复杂度，减少了潜在的故障点。同时Containerd作为一个轻量级运行时，其资源占用也更低，有利于提高节点的可用资源和稳定性。

2. 支持OCI标准，面向Kubernetes设计：Containerd从一开始就致力于成为一个标准化的容器运行时。它完全支持OCI标准，并提供了兼容CRI的接口。这种与Kubernetes的契合，使得Containerd成为Kubernetes社区的优先选择。

总的来说，Containerd专注于提供Kubernetes所需的核心功能，摒弃了Docker中许多不必要的特性。这种专注使其更加轻量、稳定，并且与Kubernetes的集成更加无缝。对于大多数Kubernetes用户来说，Containerd是一个更加合适的选择。

尽管Kubernetes社区推荐使用Containerd，但这并不意味着Docker就完全没有用武之地。在某些特定场景下，Docker仍然具有独特的价值：

1. 需要使用Docker API、docker build等功能：如果你的工作流严重依赖Docker提供的一些特有功能，如docker build、docker push等，那么继续使用Docker可能是更好的选择。这些功能虽然对Kubernetes来说不是必需的，但在某些开发和CI/CD场景下还是非常有用的。

2. 需要使用Docker Compose或Swarm：如果你的部分工作负载还在使用Docker Compose或Swarm，出于一致性和兼容性考虑，这部分节点可能需要继续使用Docker作为运行时。

需要注意的是，即使你决定在某些节点上继续使用Docker，也可以在其他节点上使用Containerd。Kubernetes支持混合使用多种容器运行时，你可以根据实际需求选择最合适的运行时。

如果你决定将现有的Kubernetes集群从Docker迁移到Containerd，有以下几点需要注意：

1. Kubernetes版本支持：从Kubernetes 1.20版本开始，Dockershim已经被弃用，而在1.24版本中，Kubernetes已经彻底移除了对Dockershim的支持。因此，对于1.24及更高版本的集群，你必须使用其他运行时如Containerd。新建的集群建议直接使用Containerd。

2. 镜像兼容性：Containerd完全兼容Docker镜像格式。这意味着你之前通过Docker构建的所有镜像，在迁移到Containerd后仍然可以继续使用，无需任何修改。

3. 容器网络和日志：由于Containerd和Docker在容器网络和日志管理方面有一些细微差异，迁移后可能会遇到一些问题。例如，容器的IPv6支持状态可能会发生变化，日志的格式和路径也可能不同。你需要仔细测试并排查这些潜在问题。

Containerd和Docker作为Kubernetes的两大容器运行时选择，各有其优势和适用场景。Containerd作为一个为容器编排而生的轻量级运行时，以其简洁的架构、对标准的支持以及与Kubernetes的契合，逐渐成为社区的主推选择。Kubernetes社区持续加大对Containerd的投入，使其成为默认的容器运行时。这一趋势反映了Kubernetes对标准化、可移植性和稳定性的追求。

然而，这并不意味着Docker就失去了其价值。作为容器技术的先驱，Docker凭借其功能的丰富性和生态的成熟度，在某些特定场景下仍然不可或缺。特别是对于那些严重依赖Docker特有功能（如docker build、docker push等）或需要与现有Docker工作流集成的用户来说，继续使用Docker可能是更优的选择。

因此，在选择容器运行时时，我们需要全面权衡各种因素，如稳定性、性能、资源占用等。要充分评估自己的实际需求，考虑是否需要Docker提供的特殊功能。在某些情况下，混合使用Containerd和Docker，发挥各自的优势，可能是一个不错的折中方案。

展望未来，随着Kubernetes的不断发展和成熟，以Containerd为代表的标准化容器运行时将成为主流选择。但这并不意味着Docker会完全退出舞台，其在容器技术发展历程中的重要地位和贡献是不可磨灭的。Docker丰富的功能和强大的社区生态，在特定场景下仍将发挥重要作用。

总之，Containerd和Docker之争，反映了Kubernetes社区在追求标准化和兼顾灵活性之间的平衡。作为Kubernetes用户，我们需要根据自身的实际情况，权衡利弊，做出最适合自己的选择。无论选择何种容器运行时，最终目的都是为了更好地支撑Kubernetes，提供稳定、高效、灵活的容器编排服务。

下表列出了Docker、Containerd（ctr）和Kubernetes（crictl 和 kubectl）中常用操作的对应命令：

这个表格涵盖了更多的操作，并且列出了Docker、Containerd（ctr）、Kubernetes（crictl）和Kubernetes（kubectl）中的对应命令（如果有的话）。

需要注意的是，由于Kubernetes主要关注容器的编排和管理，而不是单个容器的操作，因此有些Docker和Containerd的命令在Kubernetes（kubectl）中并没有直接的对应。这些操作通常是在创建或管理Pod时通过配置文件（如YAML）来指定的。

另外，kubectl 和 crictl 都是与 Kubernetes 相关的命令行工具，但它们的目的和使用场景有所不同：

从目的和功能看：

• kubectl：kubectl是Kubernetes的标准命令行工具，用于管理和操作Kubernetes集群中的各种资源，如Pod、Service、Deployment、Namespace等。它通过Kubernetes API服务器与集群进行交互，提供了一组丰富的子命令和选项，用于创建、查看、更新和删除Kubernetes对象。kubectl的主要目的是管理和编排容器，而不是直接与容器运行时交互。

• crictl：crictl是CRI(Container Runtime Interface)的命令行工具，用于与兼容CRI的容器运行时（如Containerd）进行直接交互。它提供了一组标准化的命令，用于管理和操作容器和镜像，如创建容器、启动容器、查看容器状态等。crictl的主要目的是调试和排查与容器运行时相关的问题，而不是管理Kubernetes资源。

从使用场景看：

• kubectl：kubectl是Kubernetes用户和管理员的主要工具。它用于日常的集群管理和应用部署任务，如创建和管理Pod、Service、Deployment等，查看集群状态，更新应用配置等。kubectl适用于所有需要与Kubernetes集群交互的场景。

• crictl：crictl主要是为开发人员和管理员提供的一个调试和排查工具。当遇到与容器运行时相关的问题时，如容器无法启动、镜像拉取失败等，可以使用crictl来直接与容器运行时交互，以诊断和解决问题。crictl适用于需要直接访问和操作容器运行时的场景。