Containerd是从Docker中分离的一个项目,旨在为Kubernetes提供容器运行时,负责管理镜像和容器的生命周期。不过Containerd是可以抛开Docker独立工作的。
前言
去年12月份,当Kubernetes社区宣布1.20版本之后会逐步弃用dockershim,当时也有很多自媒体在宣传Kubernetes弃用Docker。其实,我觉得这是一种误导,也许仅仅是为了蹭热度。
dockershim是Kubernetes的一个组件,其作用是为了操作Docker。Docker是在2013年面世的,而Kubernetes是在2016年,所以Docker刚开始并没有想到编排,也不会知道会出现Kubernetes这个庞然大物(它要是知道,也不会败的那么快...)。但是Kubernetes在创建的时候就是以Docker作为容器运行时,很多操作逻辑都是针对的Docker,随着社区越来越健壮,为了兼容更多的容器运行时,才将Docker的相关逻辑独立出来组成了dockershim。
正因为这样,只要Kubernetes的任何变动或者Docker的任何变动,都必须维护dockershim,这样才能保证足够的支持,但是通过dockershim操作Docker,其本质还是操作Docker的底层运行时Containerd,而且Containerd自身也是支持CRI(Container Runtime Interface),那为什么还要绕一层Docker呢?是不是可以直接通过CRI和Containerd进行交互?这也是社区希望启动dockershim的原因之一吧。
那什么是Containerd呢?
Containerd是从Docker中分离的一个项目,旨在为Kubernetes提供容器运行时,负责管理镜像和容器的生命周期。不过Containerd是可以抛开Docker独立工作的。它的特性如下:
- 支持OCI镜像规范,也就是runc
- 支持OCI运行时规范
- 支持镜像的pull
- 支持容器网络管理
- 存储支持多租户
- 支持容器运行时和容器的生命周期管理
- 支持管理网络名称空间
Containerd和Docker在命令使用上的一些区别主要如下:
可以看到使用方式大同小异。
下面介绍一下使用kubeadm安装K8S集群,并使用containerd作为容器运行时的具体安装步骤。
环境说明
主机节点
软件说明
软件版本
环境准备
(1)在每个节点上添加 hosts 信息:
$ cat /etc/hosts
- 192.168.0.5k8s-master
- 192.168.0.125k8s-node01
(2)禁用防火墙:
- $systemctlstopfirewalld
- $systemctldisablefirewalld
(3)禁用SELINUX:
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
(4)创建/etc/sysctl.d/K8S.conf文件,添加如下内容:
- net.bridge.bridge-nf-call-ip6tables=1
- net.bridge.bridge-nf-call-iptables=1
- net.ipv4.ip_forward=1
(5)执行如下命令使修改生效:
- $modprobebr_netfilter
- $sysctl-p/etc/sysctl.d/k8s.conf
(6)安装 ipvs
- $cat>/etc/sysconfig/modules/ipvs.modules<<EOF
- #!/bin/bash
- modprobe--ip_vs
- modprobe--ip_vs_rr
- modprobe--ip_vs_wrr
- modprobe--ip_vs_sh
- modprobe--nf_conntrack_ipv4
- EOF
- $chmod755/etc/sysconfig/modules/ipvs.modules&&bash/etc/sysconfig/modules/ipvs.modules&&lsmod|grep-eip_vs-enf_conntrack_ipv4
上面脚本创建了的/etc/sysconfig/modules/ipvs.modules文件,保证在节点重启后能自动加载所需模块。使用lsmod | grep -e ip_vs -e nf_conntrack_ipv4命令查看是否已经正确加载所需的内核模块。
(7)安装了 ipset 软件包:
- $yuminstallipset-y
为了便于查看 ipvs 的代理规则,最好安装一下管理工具 ipvsadm:
- $yuminstallipvsadm-y
(8)同步服务器时间
- $yuminstallchrony-y
- $systemctlenablechronyd
- $systemctlstartchronyd
- $chronycsources
(9)关闭 swap 分区:
- $swapoff-a
(10)修改/etc/fstab文件,注释掉 SWAP 的自动挂载,使用free -m确认 swap 已经关闭。swappiness 参数调整,修改/etc/sysctl.d/k8s.conf添加下面一行:
0
- $systemctlstopfirewalld
- $systemctldisablefirewalld
执行sysctl -p /etc/sysctl.d/k8s.conf使修改生效。
(11)接下来可以安装 Containerd
1
- $systemctlstopfirewalld
- $systemctldisablefirewalld
可以选择安装一个版本,比如我们这里安装最新版本:
2
- $systemctlstopfirewalld
- $systemctldisablefirewalld
(12)创建containerd配置文件:
3
- $systemctlstopfirewalld
- $systemctldisablefirewalld
(13)启动Containerd:
4
- $systemctlstopfirewalld
- $systemctldisablefirewalld
在确保 Containerd安装完成后,上面的相关环境配置也完成了,现在我们就可以来安装 Kubeadm 了,我们这里是通过指定yum 源的方式来进行安装,使用阿里云的源进行安装:
5
- $systemctlstopfirewalld
- $systemctldisablefirewalld
然后安装 kubeadm、kubelet、kubectl(我安装的是最新版,有版本要求自己设定版本):
6
- $systemctlstopfirewalld
- $systemctldisablefirewalld
设置运行时:
7
- $systemctlstopfirewalld
- $systemctldisablefirewalld
可以看到我们这里安装的是 v1.20.5版本,然后将 kubelet 设置成开机启动:
8
- $systemctlstopfirewalld
- $systemctldisablefirewalld
到这里为止上面所有的操作都需要在所有节点执行配置。
初始化集群
初始化Master
然后接下来在 master 节点配置 kubeadm 初始化文件,可以通过如下命令导出默认的初始化配置:
9
- $systemctlstopfirewalld
- $systemctldisablefirewalld
然后根据我们自己的需求修改配置,比如修改 imageRepository 的值,kube-proxy 的模式为 ipvs,需要注意的是由于我们使用的containerd作为运行时,所以在初始化节点的时候需要指定cgroupDriver为systemd【1】
0
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
然后使用上面的配置文件进行初始化:
1
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
拷贝 kubeconfig 文件
2
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
添加节点
记住初始化集群上面的配置和操作要提前做好,将 master 节点上面的 $HOME/.kube/config 文件拷贝到 node 节点对应的文件中,安装 kubeadm、kubelet、kubectl,然后执行上面初始化完成后提示的 join 命令即可:
3
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
如果忘记了上面的 join 命令可以使用命令kubeadm token create --print-join-command重新获取。
执行成功后运行 get nodes 命令:
4
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
可以看到是 NotReady 状态,这是因为还没有安装网络插件,接下来安装网络插件,可以在文档 https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/ 中选择我们自己的网络插件,这里我们安装 calio:
5
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
# 因为有节点是多网卡,所以需要在资源清单文件中指定内网网卡
$ vi calico.yaml
6
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
安装calico网络插件
7
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
隔一会儿查看 Pod 运行状态:
8
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
网络插件运行成功了,node 状态也正常了:
9
- $setenforce0
- $cat/etc/selinux/config
- SELINUX=disabled
用同样的方法添加另外一个节点即可。
配置命令自动补全
0
- net.bridge.bridge-nf-call-ip6tables=1
- net.bridge.bridge-nf-call-iptables=1
- net.ipv4.ip_forward=1
参考文档
【1】:https://github.com/containerd/containerd/issues/4857
【2】:https://github.com/containerd/containerd