本文参考自:Using the CRI-O Container Engine
CRI-O 是一个开源的、社区驱动的容器引擎。 其主要目标是取代 Docker 服务作为 Kubernetes 实施的容器引擎。随着 Kubernetes v1.24 对 dockershim 的弃用,CRI-O 将成为 Kubernetes 容器引擎的不二之选。
CRI-O 容器引擎为运行与开放容器标准 (OCI) 兼容的运行时提供了一个稳定、更安全和高性能的平台。使用 CRI-O 容器引擎可以借助使用符合 OCI 的运行时(如 runc、默认 OCI 运行时或 Kata Containers)来启动容器和 Pod。
CRI-O 的稳定性来自于它是与 Kubernetes 的主要和次要版本同步开发、测试和发布的,而且它遵循 OCI 标准。例如,CRI-O 1.24 与 Kubernetes 1.24 保持一致。CRI-O 的适用范围与容器运行时接口(CRI)相关联(参见:What is the scope of CRI-O?)。CRI 准确地提取和标准化了 Kubernetes 服务(kubelet)从其容器引擎中所需的支撑。随着多种容器引擎开始被相继开发,CRI 团队这样做是为了帮助稳定 Kubernetes 容器引擎的要求。
操控 CRI-O 的常用命令行工具包括:
crictl - 用于排除故障和直接与 CRI-O 容器引擎一起工作(需安装 cri-tools,较常用)
runc - 用于运行容器镜像(CRI-O 自带,几乎不用)
podman - 用于在容器引擎之外管理 pod 和容器镜像(run, stop, start, ps, attach, exec 等,需安装 podman,经常用。podman 的详细使用方式见:Podman构建和管理容器)
一些 Docker 功能被包含在其他工具中,而不是 CRI-O 中。例如,podman提供了与许多 docker 命令功能完全兼容的命令行,并将这些功能也扩展到管理 pod 上。使用 podman 运行容器或 pod 不需要容器引擎。
不支持 CRI-O 作为独立的容器引擎运行。必须使用 CRI-O 作为 Kubernetes 安装的容器引擎,要在没有 Kubernetes 的情况下运行容器,请使用 podman。
安装 CRI - O(参考:容器运行时 | Kubernetes)
说明:如果 Kubernetes 的网络代理组件(如 calico)使用的是 eBPF 模式,则不要依照 Kubernetes 官方文档在 /etc/modules-load.d/crio.conf 中配置 br_netfilter 内核模块,只需保留其中的 overlay 模块。还可以直接删除用于转发桥接流量到 iptables 链的配置文件 /etc/sysctl.d/99-kubernetes-cri.conf
要查询和调试 CRI-O 容器运行时,请运行 crictl 命令直接与 CRI-O 通信。crictl 使用的 CRI-O 实例在 /etc/crictl.yaml 文件中标识。
说明:旧版 /etc/crictl.yaml 中的 image-endpoint 已从 v1.21.0 移除。
详见:fix: Don't set `image-endpoint` in crictl config · cri-o/cri-o@4bca0bb · GitHub
cat /etc/crictl.yaml
# 显示如下内容
runtime-endpoint: "unix:///var/run/crio/crio.sock"
默认情况下,crictl.yaml 文件使 crictl 指向本地系统上的 CRI-O socket。要查看 crictl 可用的选项,请不带参数直接运行 crictl。要获得特定选项的帮助,请添加 --help。例如:
crictl run --help
# 显示如下内容
NAME:
crictl run - Run a new container inside a sandbox
USAGE:
crictl run [command options] container-config.[json|yaml] pod-config.[json|yaml]
OPTIONS:
--auth AUTH_STRING Use AUTH_STRING for accessing the registry. AUTH_STRING is a base64 encoded 'USERNAME[:PASSWORD]'
--creds USERNAME[:PASSWORD] Use USERNAME[:PASSWORD] for accessing the registry
--no-pull Do not pull the image (overrides disable-pull-on-run=false in config) (default: false)
--runtime value, -r value Runtime handler to use. Available options are defined by the container runtime.
--timeout value, -t value Seconds to wait for a container create request before cancelling the request (default: 0s)
--with-pull Pull the image (overrides disable-pull-on-run=true in config) (default: false)
--help, -h show help (default: false)
配置国内容器镜像加速器,执行以下命令。
vi /etc/containers/registries.conf
说明:registries.conf 现已全部使用 V2 配置格式,如果你的文件中混合了 V1 和 V2 的配置格式,请将 V1 版的配置格式全部删除,只保留 V2 版配置格式。
详见:image/containers-registries.conf.5.md at main · containers/image · GitHub
删除 registries.conf 中的默认配置,替换为以下内容。
注:mirror.ccs.tencentyun.com 镜像加速器只有在腾讯云上才能使用。请根据实际环境配置。
unqualified-search-registries = ["docker.io", "k8s.gcr.io", "registry.fedoraproject.org", "registry.access.redhat.com", "registry.centos.org"]
[[registry]]
prefix = "docker.io"
location = "mirror.ccs.tencentyun.com"
[[registry]]
prefix = "k8s.gcr.io/coredns/coredns"
location = "registry.aliyuncs.com/google_containers/coredns"
[[registry]]
prefix = "*.gcr.io"
location = "registry.aliyuncs.com/google_containers"
各配置项解释如下:
unqualified-search-registries: 按顺序拉取不匹配的镜像时需要尝试的 host[:port] 镜像注册表数组。
[[registry]]: 镜像注册表,用于反向代理到国内镜像。
insecure: true 或 false。默认 false,表示容器运行时在从镜像注册表检索镜像时需要 TLS 连接。
如果将 insecure 设置为 true,则允许使用未加密的 HTTP 以及具有不受信任的证书的 TLS 连接。
blocked true 或 false。默认 false。如果为 true,则表示阻止本地系统 pull、search 自 [[registry]] 块中已定义的 prefix、location 镜像地址。
prefix 镜像名称前缀,可以是具体的镜像注册表,如 docker.io。还可以包含格式为 *.example.com 的通配符子域。
通配符应仅出现在开头第一个字符,其他格式将不起作用(甚至会导致 crio 无法启动)。
例如:*.example.com 有效,但 example.*.com、*.example.com/foo 和 *.example.com:5000/foo/bar:baz 都无效。
请注意:* 匹配任意数量的子域。*.example.com 将匹配 bar.example.com、foo.bar.example.com 等。
location: 接受与 prefix 字段相同的格式,但不能用通配符。配合 prefix 使用时表示将所有以 prefix 为根命名空间的镜像都反向代理到指定的 location 镜像。
检查 crio.service 日志,执行如下命令。
journalctl -xeu crio
列出其中一个容器的日志,执行如下命令。
crictl logs $(container_id)
开启 CRI-O 调试,编辑 /etc/crio/crio.conf 修改如下。
# 可选日志级别:fatal, panic, error, warn, info (default), debug, trace
[crio.runtime]
log_level = "debug"
重新加载配置文件,并重新启动服务,命令如下。
systemctl daemon-reload
systemctl restart crio
通过 crictl 命令,你可以直接与 CRI-O 容器引擎对接,检查和操作与该容器引擎相关的容器、镜像和 pod。runc 容器运行时是与 CRI-O 交互的另一种方式。如果你想在 CRI-O 容器引擎之外运行容器,例如在一个节点上运行支持工具,你可以使用 podman 命令。
首先,你可以使用 crictl info 和 crictl version 命令检查 CRI-O 服务的一般状态。
crictl info
# 显示如下内容
{
"status": {
"conditions": [
{
"type": "RuntimeReady",
"status": true,
"reason": "",
"message": ""
},
{
"type": "NetworkReady",
"status": true,
"reason": "",
"message": ""
}
]
}
}
crictl version
# 显示如下内容
Version: 0.1.0
RuntimeName: cri-o
RuntimeVersion: 1.23.2
RuntimeApiVersion: v1alpha2
查看已经拉取到本地 CRI-O 节点的镜像。
crictl images
查看当前在CRI-O环境中已激活的(Ready)pod。
crictl pods
查看当前正在运行的容器。
crictl ps
查看所有容器,包括正在运行、已停止和已退出的容器。
crictl ps -a
如果你的 CRI-O 服务被停止或出现故障,你可以使用 runc 命令列出在 CRI-O 中运行的容器。这个例子搜索了一个 CRI-O 运行和不运行的容器的存在。然后它显示你可以用 runc 来调查那个容器,即使是在 CRI-O 停止的时候。
crictl ps | grep d36a99a9a40ec
d36a99a9a40ec 062cd20609d3895658e54e5f367b9d70f42db4f86ca14bae7309512c7e0777fd
11 hours ago CONTAINER_RUNNING sync 2
sudo systemctl stop crio
sudo crictl ps | grep d36a99a9a40ec
2022/04/14 11:22:16 grpc: addrConn.resetTransport failed to create client transport:
connection error: desc = "transport: dial unix /var/run/crio/crio.sock: connect:
no such file or directory"; Reconnecting to {/var/run/crio/crio.sock <nil>}
FATA[0000] listing containers failed: rpc error: code = Unavailable desc = grpc:
the connection is unavailable
sudo runc list | grep d36a99a9a40ec
d36a99a9a40ecc4c830f10ed2d5bb3ce1c6deadcb1a4879ff342e315051a71ed 19477 running
/run/containers/storage/overlay-containers/d36a99a9a40ecc4c830f10ed2d5bb3ce1c6deadcb1a4879ff342e315051a71ed/userdata
2022-04-14T04:44:29.47950187Z root
ls /run/containers/storage/overlay-containers/d36*/userdata/
attach config.json ctl pidfile run
less /run/containers/storage/overlay-containers/d36*/userdata/config.json
{
"ociVersion": "1.0.0",
"process": {
"user": {
"uid": 0,
"gid": 0
},
"args": [
"/bin/bash",
"-c",
"#!/bin/bash\nset -euo pipefail\n\n# set by the node
image\nunset KUBECONFIG\n\ntrap 'kill $(jobs -p);
exit 0' TERM\n\n# track the current state of the ...
sudo systemctl start crio
如你所见,即使关闭了 CRI-O 服务,runc 也会显示容器的存在和它在文件系统中的位置,以备进一步调查。
进入容器内并查看容器的操作系统名称和版本
crictl exec bcaee950b412 cat /etc/os-release
# 显示如下内容
NAME="Anolis OS"
VERSION="8.4"
查看在容器内运行的进程列表,运行如下命令。
crictl exec -ti bcaee950b412 ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 07:36 ? 00:00:00 /usr/sbin/init
root 20 1 0 07:36 ? 00:00:00 /usr/lib/systemd/systemd-journald
root 21 1 0 07:36 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 22 21 0 07:36 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 23 21 0 07:36 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 24 21 0 07:36 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
apache 25 21 0 07:36 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
dbus 26 1 0 07:36 ? 00:00:00 /usr/bin/dbus-daemon --system --address=systemd: --nofork --n
root 244 0 0 08:32 pts/1 00:00:00 ps -ef
作为一种选择,你还可以使用 runc 命令 "exec" 进入一个容器。
runc exec -t e47b3a837aa3023c748c4c31a090266f014afba641a8ab9cfca31b065b4f2ddd ps -ef
UID PID PPID C STIME TTY TIME CMD
1000130+ 1 0 0 Oct17 ? 00:38:16 /usr/bin/origin-web-console --audit-log-path=- -v=0 --config=/var/webconsole-config/webc
1000130+ 16541 0 0 15:48 pts/0 00:00:00 ps -ef
1000130+ 17518 1 0 Oct23 ? 00:00:00 [curl] <defunct>
如果容器内没有 ps 命令,runc 有 ps 选项,它具有显示容器内运行的进程的相同效果。
sudo runc ps e47b3a837aa3023c748c4c31a090266f014afba641a8ab9cfca31b065b4f2ddd
注意,runc 需要完整的容器 ID,而 crictl 只需要开头的几个唯一字符。
有了pod sandbox (沙箱) ID(从 crictl pods 输出),运行crictl inspectp来显示该pod沙箱的信息。文章来源:https://www.toymoban.com/news/detail-401261.html
sudo crictl pods | grep 5a60ac777aaa0
5a60ac777aaa0 8 days ago SANDBOX_READY registry-console-1-vktl6 default 0
sudo crictl inspectp 5a60ac777aaa0
{
"status": {
"id": "5a60ac777aaa055f14b998a9f2ced3e146b3cddbe270154abb75decd583bf879",
"metadata": {
"attempt": 0,
"name": "registry-console-1-vktl6",
"namespace": "default",
"uid": "6af860cc-d20b-11e8-b094-525400535ba1"
},
"state": "SANDBOX_READY",
"createdAt": "2022-04-14T08:53:22.828511516-04:00",
"network": {
"ip": "10.128.0.6"
要查看本地系统上 CRI-O 可用的镜像状态信息,请运行 crictl inspecti文章来源地址https://www.toymoban.com/news/detail-401261.html
crictl inspecti 25f8c7f3da61c
{
"status": {
"id": "25f8c7f3da61c2a810effe5fa779cf80ca171afb0adf94c7cb51eb9a8546629d",
"repoTags": [
"k8s.gcr.io/etcd:3.5.1-0"
],
"repoDigests": [
"k8s.gcr.io/etcd@sha256:05c1a3be66823dcaca55ebe17c3c9a60de7ceb948047da3e95308348325ddd5a",
"k8s.gcr.io/etcd@sha256:64b9ea357325d5db9f8a723dcf503b5a449177b17ac87d69481e126bb724c263"
],
"size": "293920249",
"uid": {
"value": "0"
},
"username": "",
"spec": null
}
}
到了这里,关于使用 CRI-O 容器引擎的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!