开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在`cgroup_manager=systemd`时使用cri-o运行pod和容器

当在cgroup_manager=systemd模式下使用cri-o运行pod和容器时，首先需要了解以下几个概念和步骤：

Cgroup（控制组）：Cgroup是Linux内核提供的一种资源管理机制，用于限制、控制和统计进程组的资源使用。通过Cgroup，可以为容器分配CPU、内存、磁盘IO、网络等资源。
Systemd：Systemd是一种Linux系统的初始化系统和服务管理器，也是一个Cgroup管理器。当cgroup_manager配置为systemd时，cri-o会使用systemd作为Cgroup管理器。
Cri-o：Cri-o是一个轻量级的容器运行时工具，用于在Kubernetes集群中运行OCI容器（Open Container Initiative）。它与Docker不同，不包含构建镜像的能力，专注于容器的运行和管理。

在cgroup_manager=systemd模式下使用cri-o运行pod和容器的步骤如下：

配置cri-o：在cri-o的配置文件中，将cgroup_manager设置为systemd，这样cri-o将使用systemd作为Cgroup管理器。配置文件一般位于/etc/crio/crio.conf。
创建Cgroup：在/sys/fs/cgroup路径下创建适当的Cgroup层次结构，用于管理容器的资源限制。可以使用systemd-cgcreate命令创建Cgroup。
运行cri-o：启动cri-o服务，使其开始监控Cgroup并运行容器。可以使用systemctl start crio命令启动cri-o服务。
创建pod和容器：使用Kubernetes或其他容器编排工具创建pod和容器。在创建时，指定容器所需的资源限制和其他配置。
监控和管理：通过cri-o提供的命令行工具或API，可以监控和管理正在运行的pod和容器。可以使用crictl命令行工具或cri-o的API进行操作。

cri-o在cgroup_manager为systemd时的优势和应用场景如下：

优势：

使用systemd作为Cgroup管理器，cri-o可以更好地与系统集成，利用systemd提供的资源管理和监控功能。
systemd提供了更灵活和强大的Cgroup管理能力，可以更精确地控制容器的资源使用。
cri-o遵循Kubernetes的CRI（Container Runtime Interface）标准，能够与Kubernetes集群无缝集成。

应用场景：

使用cri-o可以在Kubernetes集群中高效地运行OCI容器，满足容器化应用的部署和管理需求。
cri-o与systemd的结合，适用于需要更精细资源控制和监控的场景，例如高性能计算、大规模微服务部署等。

腾讯云相关产品和产品介绍链接地址：

腾讯云容器服务 TKE（https://cloud.tencent.com/product/tke）：腾讯云提供的托管式Kubernetes容器服务，支持在云上快速部署和运行容器化应用。
腾讯云云原生容器服务 Cloud Native Container Service（https://cloud.tencent.com/product/tke）：腾讯云提供的容器服务，支持原生Kubernetes和Helm，提供多种容器管理和应用编排工具。
腾讯云容器实例 TKE-VM（https://cloud.tencent.com/product/tke-vm）：腾讯云提供的无须管理集群的容器实例服务，支持快速创建、运行和扩展容器应用。
腾讯云云原生数据库 TDSQL-C（https://cloud.tencent.com/product/tdsqlc）：腾讯云提供的云原生分布式关系型数据库，适用于云原生应用的存储需求。

注意：以上产品仅为示例，并非对应cri-o和cgroup_manager=systemd的具体推荐产品。

相关搜索:在停止和启动进程时保持docker容器运行在K8s pod中运行的Logstash容器的http插件使用哪个主机和端口？在Docker容器启动和停止时在主机上运行命令当使用容器时，我应该在容器内还是在容器外运行git？在docker容器中运行脚本时使用的内存在安装和运行Tensorflow时使用ValueError 如何在Google Cloud Kubernetes Pod运行结束时提取该pod的CPU和内存使用情况使用PyCharm在Docker容器中使用Django运行测试用例时出错(AppRegistryNotReady)如何在docker中使环境变量在容器构建时和运行时可用？使用GitHub操作在自定义停靠容器中运行步骤时出现问题使用TestContainers和Jenkins在停靠容器中运行测试(docker.sock权限被拒绝)有没有办法在使用` `docker run -- rm`时找到容器的运行时间？在Windows上使用Guard和rspec更改文件时,测试不会运行在使用VSCode和Pycharm运行python代码时，GUI不会出现在尝试使用ncurses运行C代码时获得编译和链接错误在我的gpu上使用numba和jit运行python时出错在使用jenkins-slave运行使用docker容器的构建时，找不到与"ref:“匹配的错误当数据库在容器中运行时，如何使用alembic自动生成和应用迁移？如何增加Openshift/kubernetes在pod启动时使用flyway运行脚本数据库所需的时间？活动探测失败时出错在使用DataFlow引擎运行bigquery查询时，如何使用自定义函数(和其他函数)？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

关于容器和容器运行时的那些事

容器，容器编排，微服务，云原生，这些无疑都是当下软件开发领域里面最热门的术语。容器技术的出现并迅速的广泛应用于软件开发的各个领域里，主要的原因是容器技术革命性的改变了软件开发和部署的基本方式。作为一个架构师，了解容器技术是非常重要的一个话题，我们今天就来聊聊它。

02

Kubernetes kubeadm在Linux下的安装

确认每个结点(node)的hostname，MAC，product_uuid唯一,Kubernetes用这些数值唯一确定集群中的结点

03

国内 CentOS 7 安装 K8S v1.29.2(CRI:containerd)，通过安装 K8S，了解 K8S 的核心概念

通过安装 K8S，了解 K8S 的核心概念：控制面、CRI、CNI、Deployment、Service、sandbox 等，本文不仅包含安装流程，而且包含丰富的 Troubeshooting 实战，以及解释这背后发生了什么。

01

minikube配置CRI-O作为runtime并指定flannel插件

使用crio作为runtime后，容器的启动将不依赖docker相关的组件，容器进程更加简洁。如下使用crio作为runtime启动一个nginx的进程信息如下：根进程(1)->conmon->nginx。conmon作用于crio和runc(OCI实现)之间，用于在crio启动容器后托管容器，更多参见conmon

02

Docker 大势已去，Podman 万岁

Podman 原来是 CRI-O 项目的一部分，后来被分离成一个单独的项目叫 libpod。Podman 的使用体验和 Docker 类似，不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候，Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」，然后 Docker Engine 才会通过 OCI Container runtime（默认是 runc）来启动一个容器。这就意味着容器的进程不可能是 Docker CLI 的子进程，而是 Docker Engine 的子进程。

01

使用 Kubernetes 检查点 API 进行容器的备份和恢复

Kubernetes v1.25 引入了容器检查点 API 作为 alpha 特性。这提供了一种在不停止容器的情况下备份和恢复运行在 Pod 中的容器的方式。此功能主要用于调试分析，但任何 Kubernetes 用户都可以利用常规备份和恢复功能。

03

如何在 Kubernetes 集群中集成 Kata

安全性和隔离性是 Kata Container 显著区别于 Docker Container 的地方。

04

1.Containerd容器运行时初识与尝试

本章主要讲解，目前K8S使用率最多的容器运行时讲解, 由于k8s在2020年宣布1.20版本之后将弃用dockershim(其中也有kubernetes与Docker爱恨情仇)时才把containerd拉回大众的视野之中,本章主要讲解containerd基础入门。

01

1.Containerd容器运行时初识与尝试

描述: 目前Docker是Kubernetes默认的容器运行时（Container Runtime）, 由于k8s在2020年宣布1.20版本之后将弃用 dockershim (其中也有kubernetes与Docker爱恨情仇)时，才把containerd拉回大众的视野之中，所以本章主要讲解containerd基础入门。

03

K8S CRI解析

上篇文章，我们讲到容器引擎Docker与Podman，关于K8S弃用Docker的根本原因在于容器运行时接口CRI，Kubelet 之前使用的是一个命名为 dockershim 的模块，用以实现对 Docker 的 CRI 支持。具体，可参考上篇文章：容器引擎Docker与Podman解析。本文主要针对CRI进行简要解析，以使得大家能够更深入了解K8S底层运行机制，以便能够更好地掌握容器生态技能。

03

kubernetes 中 Qos 的设计与实现

QoS(Quality of Service) 即服务质量，QoS 是一种控制机制，它提供了针对不同用户或者不同数据流采用相应不同的优先级，或者是根据应用程序的要求，保证数据流的性能达到一定的水准。kubernetes 中有三种 Qos，分别为：

02

Podman的崛起，可能正在加速Docker的消亡！！！

Podman 原来是 CRI-O 项目的一部分，后来被分离成一个单独的项目叫 libpod。Podman 的使用体验和 Docker 类似，不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候，Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」，然后 Docker Engine 才会通过 OCI Container runtime（默认是 runc）来启动一个容器。这就意味着容器的进程不可能是 Docker CLI 的子进程，而是 Docker Engine 的子进程。

01

浅谈 K8s CRI

进入 K8s 的世界，会发现有很多方便扩展的 Interface，包括 CRI, CSI, CNI 等，将这些接口抽象出来，是为了更好的提供开放、扩展、规范等能力。

02

podman快速入门详解与实践

Podman 原来是 CRI-O 项目的一部分，后来被分离成一个单独的项目叫 libpod。Podman 的使用体验和 Docker 类似，不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候，Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」，然后 Docker Engine 才会通过 OCI Container runtime（默认是 runc）来启动一个容器。这就意味着容器的进程不可能是 Docker CLI 的子进程，而是 Docker Engine 的子进程。

01

Kubernetes 1.26: 动态资源分配 Alpha API

作者: Patrick Ohly (Intel)、Kevin Klues (NVIDIA)

03

Runc 容器初始化和容器逃逸

在每一个 Kubernetes 节点中，运行着 kubelet，负责为 Pod 创建销毁容器，kubelet 预定义了 API 接口，通过 GRPC 从指定的位置调用特定的 API 进行相关操作。而这些 CRI 的实现者，如 cri-o, containerd 等，通过调用 runc 创建出容器。runc 功能相对单一，即针对特定的配置，构建出容器运行指定进程，它不能直接用来构建镜像，kubernetes 依赖的如 cri-o 这类 CRI，在 runc 基础上增加了通过 API 管理镜像，容器等功能。

02

【每日一个云原生小技巧 #42】容器运行时接口（CRI）简介

容器运行时接口（Container Runtime Interface，简称CRI）是一种插件接口，它使得 Kubernetes 能够使用各种容器运行时，而不仅限于其最初默认的 Docker。这个接口定义了容器运行时需要实现的一系列必要功能，从而确保它们能够与 Kubernetes 集群无缝协作。

01

UzzzzZ

当容器运行时（Container Runtime）的标准被提出以后，Red Hat 的一些人开始想他们可以构建一个更简单的运行时，而且这个运行时仅仅为 Kubernetes 所用。这样就有了 skunkworks项目，最后定名为 CRI-O，它实现了一个最小的 CRI 接口。在 2017 Kubecon Austin 的一个演讲中， Walsh 解释说， ”CRI-O 被设计为比其他的方案都要小，遵从 Unix 只做一件事并把它做好的设计哲学，实现组件重用“。

03

Kubernetes CRI-O引擎逃逸CVE-2022-0811漏洞复现

当容器运行时（Container Runtime）的标准被提出以后，Red Hat 的一些人开始想他们可以构建一个更简单的运行时，而且这个运行时仅仅为 Kubernetes 所用。这样就有了 skunkworks项目，最后定名为 CRI-O，它实现了一个最小的 CRI 接口。在 2017 Kubecon Austin 的一个演讲中， Walsh 解释说， ”CRI-O 被设计为比其他的方案都要小，遵从 Unix 只做一件事并把它做好的设计哲学，实现组件重用“。

01

Kubernetes弃用Dockershim，转向Containerd：影响及如何应对

Kubernetes1.24版本发布时，正式宣布弃用Dockershim，转向Containerd作为默认的容器运行环境。Kubernetes以CRI(Container Runtime Interface)容器运行时接口制定接入准则，用户可以使用Containerd、CRI-O、CRI- Dockerd及其他容器运行时作为Kubernetes的容器引擎。

01

Crictl VS Podman

Kubernetes已经使用CRI-O作为容器运行时。自然的它也推出了相应的命令行工具Crictl来调试CRI-O，管理Images, ps等。

02

容器运行时

要把进程运行在容器中，还需要有便捷的SDK或命令来调用Linux的系统功能，从而创建出容器。容器的运行时（runtime）就是运行和管理容器进程、镜像的工具。

01

Containerd深度剖析-runtime篇

虽然容器领域的创业随着CoreOS、Docker的卖身，而逐渐归于平寂，但随着Rust语言的兴起，Firecracker、youki项目在容器领域泛起涟漪，对于云原生从业者来说，面试等场景中或多或少都会谈论到容器一些的历史与技术背景。

01

【重识云原生】第六章容器6.3.6节——kubelet组件

Kubelet组件运行在Node节点上，维持运行中的Pods以及提供kuberntes运行时环境，其主要功能就是定时从某个地方获取节点上 pod/container 的期望状态（运行什么容器、运行的副本数量、网络或者存储如何配置等等），并调用对应的容器平台接口达到这个状态。

01

kubernetes真要放弃docker吗?

这几天，kubernetes社区发生了一件大事，1.20版本宣布放弃docker，圈内一下子炸锅了。我们看一下官方描述：

02

Ada Logics：CRI-O整体安全审计项目

文章之前由 Ada Logics 安全研究与安全工程 David Korczynski 和安全工程与安全自动化 Adam Korczynski 在 Ada Logics 博客[1]上发表

02

K8s迁移cgroup v2的checklist

随着Kubernetes 1.25关于cgroup v2 特性的正式发布（GA）, kubelet容器资源管理能力得到加强。本文针对K8s迁移cgroup v2做了如下的checklist，主要分为：cgroup v2是什么，对于K8s意味着什么以及如何迁移等相关内容。

02

CNCF欢迎CRI-O加入孵化项目 - Kubernetes的轻量级容器运行时

今天，CNCF（Cloud Native Computing Foundation，云原生计算基金会）技术监督委员会（TOC）投票决定接受CRI-O作为孵化级托管项目。由Red Hat创建的CRI-O是Kubernetes容器运行时接口（CRI）的实现，旨在支持使用Open Container Initiative（OCI）兼容的运行时。

02

Kubernetes决定弃用Docker，到底会影响到谁？

近几年，Kubernetes 已经成为自有机房、云上广泛使用的容器编排方案，最广泛的使用方式是 Kubernetes+Docker。从 DevOps 人员的角度，一面用 kubctl 命令、k8s API 来操作集群，一面在单机用 Docker 命令来管理镜像、运行镜像。

02

一图看懂边缘计算整体架构

CPU支持X86和ARM架构；操作系统支持Linux、Windows和macOS；容器运行时支持Docker、Containerd和Cri-o；集群编排使用Kubernetes，包括控制节点、计算节点和集群存储。

03

我与腾讯云的故事：腾讯云CVM云服务器下玩转k8s集群

02

大话 Kubernetes Runtime

回想最开始接触 k8s 的时候, 经常搞不懂 CRI 和 OCI 的联系和区别, 也不知道为啥要垫那么多的 “shim”(尤其是 containerd-shim 和 dockershim 这两个完全没啥关联的东西还恰好都叫 shim). 所以嘛, 这篇就写一写 k8s 的 runtime 部分, 争取一篇文章把下面这张 Landscape 里的核心项目给白话明白:

03

提高 K8S 监控可观察性最佳方式实战教程

当谈到云原生可观察性时，可能每个人都会提到OpenTelemetry (OTEL)，因为社区需要依赖标准来将所有集群组件开发指向到同一方向。OpenTelemetry 使我们能够将日志、指标（metrics）、跟踪（traces）和其他上下文信息组合到一个资源中。集群管理员或软件工程师可以使用此资源来获取在定义的时间段内集群中正在发生的事情的视图。

02

在CRI运行中验证容器镜像签名

Kubernetes社区自v1.24版本开始对其基于容器镜像的工件进行签名。随着v1.26版本中相应增强功能从alpha版本升级为beta版本，引入了对二进制工件的签名。其他项目也采用了这种方法，为其发布提供了镜像签名。这意味着它们可以在自己的CI/CD流水线中创建签名，例如使用GitHub Actions，或者依靠Kubernetes镜像推广流程通过向k/k8s.io存储库提交拉取请求来自动签名镜像。使用此流程的要求是项目必须是kubernetes或kubernetes-sigs GitHub组织的一部分，以便利用社区基础设施将镜像推送到暂存存储桶中。

02

kubernetes的runtime（二）

CRI（容器运行时接口）是Kubernetes中定义的一组API，用于与容器运行时进行通信。CRI定义了一组标准的API，使得Kubernetes可以与多种不同的容器运行时进行交互。

02

从 Docker 聊起，浅谈 K8s CRI

作者介绍：王成，腾讯云研发工程师，Kubernetes member，从事数据库产品容器化、资源管控等工作，关注 Kubernetes、Go、云原生领域。文章目录 1 概述 2 从 Docker 说起 2.1 Docker Engine 2.2 OCI 2.3 runc 3 CRI 3.1 dockershim 3.2 CRI shim 3.3 RuntimeClass 4 Kubelet 启动 5 Pod 创建/删除 6 Container 创建/删除 7 CRI RPC 接口 8 小结 1 概述进

03

放弃手中Docker拥抱下一代容器管理工具Podman

官网描述: Podman是一个无守护进程的容器引擎,用于在Linux系统上开发、管理和运行OCI容器(开源的容器管理工具)。容器可以作为根运行，也可以以无根模式运行。简单地说:alias docker=podman简单的说它是下一代容器。

02

CRI shim：kubelet怎么与runtime交互（一）

实现了 CRI 接口的容器运行时通常称为 CRI shim，这是一个 gRPC Server，监听在本地的 unix socket 上；而 kubelet 作为 gRPC 的客户端来调用 CRI 接口，来进行 Pod 和容器、镜像的生命周期管理。另外，容器运行时需要自己负责管理容器的网络，推荐使用 CNI。

03

containerd安装

Containerd是一个开源的容器运行时管理器，用于管理容器的生命周期，包括容器的创建、启动、停止、暂停和销毁。它是Docker Engine的核心组件之一，也是Kubernetes、CRI-O等容器平台的基础组件。

02

K8S 1.20 弃用 Docker 评估之 Docker CLI 的替代产品

2020 年 12 月初，Kubernetes 在其最新的 Changelog 中宣布，自 Kubernetes 1.20 之后将弃用 Docker 作为容器运行时。

02

是时候跟Docker说再见了

在容器的远古时代(差不多就是 4 年前)，Docker 是这场游戏的唯一玩家。但现在情况已经不一样了，Docker 不再是唯一玩家，而只是一个容器引擎而已。我们可以用 Docker 构建、运行、拉取、推送或检查容器镜像，但对于这里的每一项任务，都有其他可替代的工具，它们可能比 Docker 做得更好。所以，让我们来探究一下它们，然后卸载和忘掉 Docker……

03

Docker不再是唯一的选择

在容器的早期时代（其实更像是4年前），Docker是容器游戏中唯一的玩家。但现在情况已经不一样了，Docker不再是唯一的一个，而只是其中一个容器引擎而已。Docker允许我们构建、运行、拉、推或检查容器镜像，然而对于每一项任务，都有其他的替代工具，甚至可能比Docker做得还要好。所以，让我们探索一下，然后再卸载（只是可能），直至完全忘记Docker……

02

Kubernetes动手系列：手把手教你10分钟快速部署集群

Kubernetes 动手系列想通过一系列动手的 demo ，来帮助读者快速的理解上手 Kubernetes 一些运行机制。会包括如下内容：

04

K8S 生态周报| 2019.04.08~2019.04.14

> 「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。

01

是时候跟Docker说再见了

在容器的远古时代 (差不多就是 4 年前)，Docker 是这场游戏的唯一玩家。但现在情况已经不一样了，Docker 不再是唯一玩家，而只是一个容器引擎而已。我们可以用 Docker 构建、运行、拉取、推送或检查容器镜像，但对于这里的每一项任务，都有其他可替代的工具，它们可能比 Docker 做得更好。所以，让我们来探究一下它们，然后卸载和忘掉 Docker……

01

Containerd深度剖析-NRI篇

NRI 位于 containerd 架构中的 CRI 插件，提供一个在容器运行时级别来管理节点资源的插件框架。NRI可以用来解决批量计算，延迟敏感性服务的性能问题，以及满足服务SLA/SLO、优先级等用户需求，性能需求，比如通过将容器的 CPU 分配同一个 numa node，来保证 numa 内的内存调用。当然除了 numa，还有 CPU、L3 cache 等资源拓扑亲和性。

02

再见 Docker，是时候拥抱下一代容器工具了

Linux 容器是由 Linux 内核所提供的具有特定隔离功能的进程，Linux 容器技术能够让你对应用及其整个运行时环境（包括全部所需文件）一起进行打包或隔离。从而让你在不同环境（如开发、测试和生产等环境）之间轻松迁移应用的同时，还可保留应用的全部功能。

02

kubernetes的runtime（一）

Kubernetes是一种容器编排平台，可以帮助我们管理和部署容器化应用程序。在Kubernetes中，容器运行时（Runtime）是一个非常重要的概念，它定义了Kubernetes如何管理和运行容器。

02

五分钟技术小分享 - 2022Week09

今天，我们会以OpenTelemetry的三个核心Metrics、Logs、Traces为切入点，来看看OpenMetrics、Fluentd、Jaeger这三个具有代表性的项目。

03

用户命名空间：现支持在 Alpha 中运行有状态 Pod

Kubernetes v1.25引入了仅适用于无状态Pod的用户命名空间支持。在Kubernetes 1.28中解除了这个限制，经过了1.27版本的一些设计更改。

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭