containerd基本使用命令

一、containerd简介

官 方 文 档 : https://containerd.io

    在 2016 年 12 月 14 日，Docker 公司宣布将containerd 从 Docker 中分离，由开源社区独立发展和运营。Containerd 完全可以单独运行并管理容器，而 Containerd 的主要职责是镜像管理和容器执行。同时，Containerd 提供了 containerd-shim 接口封装层，
向下继续对接 runC 项目，使得容器引擎 Docker Daemon 可以独立升级。

Containerd 可以在宿主机中管理完整的容器生命周期：容器镜像的传输和存储、容器的执行和管理、存储和网络等。总结一下，它主要负责干以下事情：
• 管理容器的生命周期(从创建容器到销毁容器)
• 拉取/推送容器镜像
• 存储管理(管理镜像及容器数据的存储)
• 调用 runC 运行容器(与 runC 等容器运行时交互)
• 管理容器网络接口及网络

1.docker与containerd之间的关系
Docker 包含 Containerd，Containerd 专注于运行时的容器管理，而 Docker 除了容器管理之外，还可以完成镜像构建之类的功能。
Containerd 提供的 API 偏底层，不是给普通用户直接用的，容器编排的开发者才需要Containerd。

2.Containerd 在容器生态中扮演的角色
Containerd 并不是直接面向最终用户的，而是主要用于集成到更上层的系统里，比如 Kubernetes等容器编排系统。
Containerd 以 daemon 的形式运行在系统上，通过 unix domain socket 暴露底层的 grpc API，上层系统可以通过这些 API 管理机器上的容器.

containerd不包含runc，但是运行容器需要runc

cri-container不包含cni，但是运行容器也需要cni plugin

cri-container-cni包含runc，包含cni。需要解压到根目录下

K8S 为什么要放弃使用 Docker 作为容器运行时，而使用 containerd 呢？
Docker，Kubernetes  等工具来运行一个容器时会调用容器运行时（CRI），比如  containerd，CRI- O，通过容器运行时来完成容器的创建、运行、销毁等实际工作，Docker 使用的是 containerd 作为其运行时；Kubernetes 支持 docker（
在 k8s1.24 版本之前用，1.24 开始废弃了）、containerd， CRI-O 等多种容器运行时，这些容器运行时都遵循了 OCI 规范，并通过 runc 来实现与操作系统内核交互来完成容器的创建和运行

备注：CRI
CRI 是一个插件接口，它使 kubelet 能够使用各种容器运行时，你需要在集群中的每个节点上都有一个可以正常工作的容器运行时， 这样 kubelet 能启动 Pod 及其容器。容器运行时接口（CRI）是kubelet 和容器运行时之间通信的主要协议。

OCI：
OCI， Open Container Initiative ，是一个轻量级，开放的治理结构（项目），在  Linux  基金会的支持下成立，致力于围绕容器格式和运行时创建开放的行业标准。 OCI 项目由 Docker，CoreOS（后来被 Red Hat 收购了，相应的席位被 Red Hat 继承）和容器行业
中的其他领导者在 2015 年 6 月的时候启动。

k8s使用containerd具体原因：
如果你使用 Docker 作为 K8S 容器运行时的话，kubelet 需要先要通过 dockershim 去调用 Docker， 再通过 Docker 去调用containerd。
如果你使用 containerd 作为K8S 容器运行时的话， kubelet 可以直接调用 containerd。
使用 containerd 不仅性能提高了（调用链变短了），而且资源占用也会变小（Docker 不是一个纯粹的容器运行时，具有大量其他功能）。

调用链
Docker 作为 k8s 容器运行时，调用关系如下：
kubelet --> docker shim （在 kubelet 进程中） --> dockerd --> containerd Containerd 作为 k8s 容器运行时，调用关系如下：
kubelet --> cri plugin（在 containerd 进程中） --> containerd

二、containerd安装

# 1.安装源和依赖软件包(与docker没区别)
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
sed -i 's+download.docker.com+mirrors.aliyun.com/docker-ce+' /etc/yum.repos.d/docker-ce.repo
yum makecache fast

# 2.安装containerd
yum install containerd -y
containerd --version # 查看containerd版本

# 3.启动containerd
systemctl start containerd && systemctl enable containerd && systemctl status containerd

# 4.修改contianerd配置文件，配置镜像仓库加速地址
# 直接生产默认配置文件：containerd config default > /etc/containerd/config.toml
vim /etc/containerd/config.toml

[plugins]
  [plugins.cri]
  [plugins."io.containerd.grpc.v1.cri"]
    # 将镜像下载地址改为阿里云地址
    sandbox_image = "registry.cn- hangzhou.aliyuncs.com/google_containers/pause:3.6"

###自有镜像源配置
    [plugins.cri.registry]
      [plugins.cri.registry.mirrors]
        [plugins.cri.registry.mirrors."docker.io"]
          endpoint = ["https://pft7f97f.mirror.aliyuncs.com","https://docker.mirrors.ustc.edu.cn"]
        [plugins.cri.registry.mirrors."gcr.io"]
          endpoint = [
            "https://gcr.mirrors.ustc.edu.cn"
          ]
        [plugins.cri.registry.mirrors."k8s.gcr.io"]
          endpoint = [
            "https://gcr.mirrors.ustc.edu.cn/google-containers/"
          ]
        [plugins.cri.registry.mirrors."quay.io"]
          endpoint = [
            "https://quay.mirrors.ustc.edu.cn"
          ]

systemctl daemon-reload && systemctl restart containerd && systemctl status containerd

# 5.开启包转发功能和修改内核参数
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1

参数生效：sysctl -p
查看： lsmod | grep br_netfilter

2.containerd设置私有镜像仓库

#1. 找到.registry.configs增加以下内容

[plugins."io.containerd.grpc.v1.cri".registry]
  config_path = ""
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."harbor.test.com:6443"]
      endpoint = ["https://harbor.test.com:6443"]
    [plugins."io.containerd.grpc.v1.cri".registry.configs]
      [plugins."io.containerd.grpc.v1.cri".registry.configs."harbor.test.com:6443".tls]
        insecure_skip_verify = true
      [plugins."io.containerd.grpc.v1.cri".registry.configs."harbor.test.com:6443".auth]
        username = "name"
        password = "pass"

systemctl restart containerd
最好不要使用别的端口了直接80快速方便
测试：crictl pull harbor.test.com:6443/app:v1

# 拉取镜像命令
ctr images pull harbor.test.com:6443/tools/centos:centos7.9.2009 --skip-verify

或者
ctr images pull harbor.test.com:6443/tools/centos:centos7.9.2009 --skip-verify --user=admin:harbor123

3.containerd镜像操作

命令介绍：
ctr：是containerd本身的CLI
crictl ：是Kubernetes社区定义的专门CLI工具

1.查看本地镜像列表
ctr images list  或者 crictl images
查看导入的镜像
ctr images ls 

列表名称：
REF TYPE DIGEST SIZE PLATFORMS LABELS

2.下载镜像命令
ctr images pull docker.io/rancher/mirrored-pause

# 3.上传命令:打标签
ctr images tag  docker.io/docker/alpine:latest  host/test/alping:v1
或
ctr i tag docker.io/docker/alpine:latest host/test/alping:v1

ctr images pull host/test/alping:v1 
# 4.导入/导出本地镜像
ctr images import app.tar
ctr images exporter

[root@node1 ~]# ctr i ls -q
docker.io/library/busybox:1.28
docker.io/library/tomcat:8.5-jre8-alpine

# 导出
[root@node1 ~]# ctr images export busybox-1.28.tar.gz docker.io/library/busybox:1.28

# 删除
[root@node1 ~]# ctr images rm docker.io/library/busybox:1.28  或 ctr i rm docker.io/library/busybox:1.28
docker.io/library/busybox:1.28

# 导入
[root@node1 ~]# ctr images import busybox-1.28.tar.gz
unpacking docker.io/library/busybox:1.28 (sha256:585093da3a716161ec2b2595011051a90d2f089bc2a25b4a34a18e2cf542527c)...done

# 查看容器名称列表
[root@node1 ~]# ctr i ls -q
docker.io/library/busybox:1.28
docker.io/library/tomcat:8.5-jre8-alpine

# 5.显示运行的容器列表
crictl ps

# 6.删除本地镜像
ctr images ls
crictl rmi  # 没生效可以使用下面这个
ctr i rm REF名称

# 7. 查看容器资源情况
crictl stats

# 8.登录容器平台
crictl exec

# 9.容器启动和停止
crictl start/stop

# 10.查看容器日志
crictl logs

[root@master containerd]# ctr image --help
NAME:
   ctr images - manage images

USAGE:
   ctr images command [command options] [arguments...]

COMMANDS:
   check                    check existing images to ensure all content is available locally
   export                   export images
   import                   import images
   list, ls                 list images known to containerd
   mount                    mount an image to a target path
   unmount                  unmount the image from the target
   pull                     pull an image from a remote
   push                     push an image to a remote
   delete, del, remove, rm  remove one or more images by reference
   tag                      tag an image
   label                    set and clear labels for an image
   convert                  convert an image

11.查看containerd默认命名空间
[root@moban containerd]# ctr namespace ls
NAME    LABELS
default
moby
ctr 有命名空间 namespace 来指定类似于工作空间的隔离区域。使用方法 ctr -n default images ls来查看 default 命名空间的镜像，不加 -n 参数，默认也是使用 default 的命名空间。

12.查看默认名称空间下镜像
[root@moban containerd]# ctr -n=default images ls
REF                                                           TYPE                                                      DIGEST                                                                  SIZE      PLATFORMS                                                                    LABELS
registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.6 application/vnd.docker.distribution.manifest.list.v2+json sha256:3d380ca8864549e74af4b29c10f9cb0956236dfb01c40ca076fb6c37253234db 294.7 KiB linux/amd64,linux/arm/v7,linux/arm64,linux/ppc64le,linux/s390x,windows/amd64 -  

4.基于containerd运行容器

#基于 containerd 运行一个容器
这里要解释一个概念 containers 和 task ，在 docker 里面 container 概念被弱化 ，将 containers 和 task 整合在一起，基于 docker run 可以运行容器。
ctr 中 containers 是镜像实例化的一个虚拟环境，提供一个磁盘，模拟空间，就好比你电脑处于关机状态一样。
ctr 中 tasks 是将容器运行起来，电脑开机了 ，初始化进程等 ，task 就是的这么个形式。

[root@moban containerd]#  ctr image pull docker.io/library/busybox:latest

# 运行容器
[root@moban containerd]# ctr run -d docker.io/library/busybox:latest busybox-v1

# 查看容器在宿主机的PID
[root@moban containerd]# ctr task ls
TASK          PID     STATUS
busybox-v1    3914    RUNNING

# 进入容器
[root@moban containerd]# ctr task exec --exec-id 3914 -t busybox-v1 sh
/ # 

# 删除容器
# 可以先停止容器再删除

[root@moban containerd]# ctr task kill --signal 9 busybox-v1
[root@moban containerd]# ctr task ls
TASK PID STATUS
busybox-v1 4233 STOPPED

# 直接删除

[root@moban containerd]# ctr task rm -f busybox-v1
WARN[0000] task busybox-v1 exit with non-zero exit code 137
# 容器运行停止
[root@moban containerd]# ctr task ls
TASK    PID    STATUS
# 查看
[root@moban containerd]# ctr c ls
CONTAINER     IMAGE                               RUNTIME
busybox-v1    docker.io/library/busybox:latest    io.containerd.runc.v2
# 删除
[root@moban containerd]# ctr c rm busybox-v1

5.上传镜像

# 镜像拉取需要加上参数--all-platform，否则上传时候会出现not found报错
ctr images pull --all-platforms harbor.test.com:6443/tools/busybox:latest

# 1.标签
[root@moban containerd]# ctr images tag docker.io/library/busybox:latest harbor96.9you.com:6443/tools/busybox:v1
harbor96.9you.com:6443/tools/busybox:v1

# 上传
[root@moban containerd]# ctr images push harbor.test.com:6443/tools/busybox:v1 --user=admin:harbor123

ctr images push harbor.test.com:6443/tools/busybox:v1 --skip-verify
ctr images push harbor.test.com:6443/tools/busybox:v1 --skip-verify  --user=admin:harbor123

6.镜像加速器第二种添加方式

# 修改/etc/containerd/config.toml

    [plugins."io.containerd.grpc.v1.cri".registry]
      config_path = "/etc/containerd/certs.d"

cd /etc/containerd/certs.d
cat hosts.toml
[host."https://vh3bm52y.mirror.aliyuncs.com",host."https://registry.docker-cn.com"]
  capabilities = ["pull"]

systemctl restart containerd

7.docker与containerd命令比对