从 Docker 1.11 版本开始,Docker 容器运行就不是简单通过 Docker Daemon 来启动了,而是通过集成 containerd、runc 等多个组件来完成的。
虽然 Docker Daemon 守护进程模块在不停的重构,但是基本功能和定位没有太大的变化,一直都是 CS 架构,守护进程负责和 Docker Client 端交互,并管理 Docker 镜像和容器。
现在的架构中组件 containerd 就会负责集群节点上容器的生命周期管理,并向上为 Docker Daemon 提供 gRPC 接口。

Containerd-shim是Containerd的一个插件,它用来扮演进程管理器的角色,接收来自containerd的命令,并在容器内部创建和管理进程。它可以与Runc协同工作,使得容器的创建、启动、停止、暂停和恢复等操作都能够得到有效的处理。一句话,创建容器这件事是由Containerd-shim来完成的。
我们都知道,创建容器是需要做一些namespaces和cgroups的配置,以及挂载root文件系统的操作。这些操作其实已经有了标准的规范,那就是OCI(开放容器标准)。OCI本质上就是一个规范文档,主要规定了容器镜像的结构标准以及容器接收操作指令的标准,比如create、start、stop、delete 等这些命令。
而Runc其实就是按照这个OCI的各种规范来实现管理容器的。所以真正启动容器是通过containerd-shim去调用runc来启动容器的,runc 启动完容器后本身会直接退出,containerd-shim 则会成为容器进程的父进程, 负责收集容器进程的状态, 上报给 containerd, 并在容器中 pid 为 1 的进程退出后接管容器中的子进程进行清理, 确保不会出现僵尸进程。
Containerd 是一个工业级标准的容器运行时,它强调简单性、健壮性和可移植性,containerd 可以负责干下面这些事情:
- 管理容器的生命周期(从创建容器到销毁容器)
- 拉取/推送容器镜像
- 存储管理(管理镜像及容器数据的存储)
- 调用 runc 运行容器(与 runc 等容器运行时交互)
- 管理容器网络接口及网络
2、containerd安装
下面步骤为在Rocky8/RHEL8上安装containerd
先安装yum-utils工具
$ yum install -y yum-utils
配置Docker官方的yum仓库,如果做过,可以跳过
$ yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo
安装containerd
$ yum install containerd.io -y
启动服务
$ systemctl enable containerd
$ systemctl start containerd
3、containerd命令行工具ctr
Ctr就是containerd的命令行工具,可以用来执行和管理containerd中的任务。ctr主要用于开发和调试,而不是在生产环境中使用。
常见用法如下:
(1)查看containerd版本
$ ctr version
(2)拉取镜像,其中images可以简写为i
$ ctr images pull docker.io/library/busybox:latest
(3)列出本地镜像
$ ctr images list
# 简写如下
$ ctr i ls
(4)修改tag
$ ctr i tag docker.io/library/busybox:latest busybox:latest
(5)删除镜像
$ ctr i rm docker.io/library/busybox:latest
(6)运行容器
$ ctr run -d busybox:latest busybox
(7)列出运行的容器
$ ctr containers list
#简写为
$ ctr c ls
(8)列出任务
$ ctr tasks ls
#简写
$ ctr t ls
(9)容器里执行命令
$ ctr t exec --exec-id 1860 busybox ls #1860为任务ID
(10)进入容器内部
$ ctr t exec -t --exec-id 1860 busybox sh
(11)删除容器
$ ctr t kill -s SIGKILL busybox #先杀掉进程
$ ctr c rm busybox #再删除容器
(12)Containerd有命名空间的概念,所以ctr可以指定命名空间
$ ctr -n k8s.io i ls #-n后面指定命名空间,k8s.io是k8s集群用的命名空间