5.4 KiB
什么是容器运行时?
深入了解容器运行时,你就可以理解容器环境是如何建立的。
在对容器镜像的检查中,我讨论了容器的基本原理,但现在是时候深入研究容器运行时了,这样你就可以了解容器环境是如何构建的。本文的部分信息摘自 Open Container Initiative (OCI)(容器的开放标准)的官方文档,所以无论你的容器引擎如何,这些信息都是相关的。
容器运行机制
那么,当你运行 podman run 或 docker run 命令时,在后台到底发生了什么?这里为你提供一个逐步的概述:
- 如果本地没有镜像,则从镜像注册处拉取镜像
- 镜像被提取到一个写时拷贝的文件系统上,所有的容器层相互叠加以创建一个合并的文件系统
- 准备一个容器挂载点
- 从容器镜像中设置元数据,包括诸如覆盖 CMD、来自用户输入的 ENTRYPOINT、设置 SECCOMP 规则等设置,以确保容器按预期运行
- 提醒内核为该容器分配某种隔离,如进程、网络和文件系统(命名空间)
- 内核还被提醒为这个容器分配一些资源限制,如 CPU 或内存限制(cgroups)
- 一个系统调用(syscall)被传递给内核以启动容器
- 设置 SELinux/AppArmor
容器运行时负责上述所有的工作。当我们想到容器运行时,想到的可能是 runc、lxc、containerd、rkt、cri-o 等等。嗯,你没有错。这些都是容器引擎和容器运行时,每一种都是为不同的情况建立的。
_容器运行时_更侧重于运行容器,为容器设置命名空间和 cgroups,也被称为底层容器运行时。高层的容器运行时或容器引擎专注于格式、解包、管理和镜像共享。它们还为开发者提供 API。
Open Container Initiative (OCI)
Open Container Initiative(OCI)是一个 Linux 基金会项目。其目的是设计某些开放标准或围绕如何与容器运行时和容器镜像格式工作的结构。它是由 Docker、rkt、CoreOS 和其他行业领导者于 2015 年 6 月建立的。
它使用两个规范来做这件事:
1. 镜像规范(image-spec)
该规范的目标是创建可互操作的工具,用于构建、传输和准备运行的容器镜像。
该规范的高层组件包括:
- Image Manifest — 一个描述构成容器镜像的元素的文件
- Image Index — 镜像清单的注释索引
- Image Layout — 一个代表镜像内容的文件系统布局
- Filesystem Layer — 一个描述容器文件系统的变化集
- Image Configuration — 确定镜像层排序和配置的文件,适合转换成运行时包。
- Conversion — 解释应该如何进行转换的文件
- Descriptor — 一个描述被引用内容的类型、元数据和内容地址的参考资料
2. 运行时规范(runtime-spec)
该规范旨在定义容器的配置、执行环境和生命周期。config.json 文件为所有支持的平台提供了容器配置,并详细说明了能够创建容器的地方。执行环境与为容器的生命周期定义的通用操作一起被详细说明,以确保在容器内运行的应用在不同的运行时之间有一个一致的环境。
Linux 容器规范使用了各种内核功能,包括命名空间、cgroups、capabilities、LSM 和文件系统监牢来实现该规范。
现在你知道了
容器运行时是由 OCI 规范管理的,以提供一致性和互操作性。许多人在使用容器时不需要了解它们是如何工作的,但当你需要排除故障或优化使用方法时,了解容器是一个宝贵的优势。
本文基于 techbeatly 的文章,并经授权改编。
via: https://opensource.com/article/21/9/container-runtimes