1、概述

在容器生态系统中充斥着各种各样的术语，今天就来为你，一一解码！

Docker开启了容器的时代，但不久之后，工具、标准和首字母缩略词似乎在这一领域爆发。那么，“docker”到底是什么，“CRI”和“OCI”这些术语又是什么意思呢?你为什么要在乎呢?继续往下读，找出答案。

2、关于Docker

Docker公司、Docker容器、Docker镜像和我们都习惯使用的Docker开发者工具之间是有区别的。

容器不再与Docker这个名字紧密耦合。

你可以用Docker运行容器，或者其他一些不是Docker的工具。docker只是众多选择中的一个，docker(该公司)支持生态系统中的一些工具，但不是全部。

因此，如果您认为容器只就是Docker，那么请继续阅读!我们将研究容器周围的生态系统以及每个部分的作用。如果你正在考虑转入DevOps，这一点尤其有用。

3、容器生态系统

容器生态系统是由大量令人兴奋的技术、大量的术语和相互争斗的大公司组成的。

幸运的是，这些公司偶尔会在一个脆弱的休战中走到一起，同意一些标准。标准有助于使生态系统更具互操作性，因此您可以在不同的平台和操作系统上运行软件，并减少对单个公司或项目的依赖。

关于容器，你应该知道的主要标准(尽管你不需要知道所有的细节)是：

• Open Container Initiative (OCI) ，定义容器和镜像的标准
• Container Runtime Interface (CRI)，它定义了Kubernetes和下面的容器运行时之间的API。

4、Docker，k8s，CRI,OCI,containerd和runc之间是如何紧密合作的？

下面的这张图，就展示了k8s,docer,cri,oci,containerd和runc之间是如何相互协作的

5、Docker中是如何运行容器的？

下面的这张图，就是在docker中运行容器的整个过程和涉及的组件

• docker:命令行工具，终端用户使用这个命令来和docker进行交互
• containerd，containerd是一个进程，用来拉取、推送镜像，管理网络，存储，然后使用runc来运行容器，并且管理容器的运行
• runc:这是底层容器运行时，或者实际创建和运行容器的东西)。它包括libcontainer，这是一个基于go的本地实现，用于创建容器

实际上，当你用docker命令运行一个容器时，你实际上是通过docker守护进程运行它，它调用containerd，然后使用runc

6、Dockershim：在k8s中的docker

那么Docker和Kubernetes有什么关系呢?

Kubernetes包含一个名为dockershim的组件，该组件允许它与Docker一起运行容器。

但实际上，Kubernetes更喜欢通过任何支持其容器运行时接口(CRI)的容器运行时运行容器。

Docker比Kubernetes更古老，没有实现CRI。这就是dockershim存在的原因，基本上把Docker连接到Kubernetes上。或者是Kubernetes到Docker上，不管你喜欢怎么想。

未来，Kubernetes将直接删除对Docker的支持，并倾向于只使用实现其容器运行时接口的容器运行时。这可能意味着使用containerd或crio。

但这并不意味着Kubernetes不能运行docker格式的容器。containerd和CRI-O都可以运行docker格式(实际上是oci格式)的镜像;他们不需要使用docker命令或docker守护进程就能完成。

7、Docker镜像？

许多人所说的Docker镜像实际上是(OCI)格式打包的镜像。

因此，如果您从Docker Hub或其镜像仓库拉取镜像，您应该能够将它与Docker命令、Kubernetes集群、podman实用程序或任何支持OCI镜像格式规范的其他工具一起使用。

这就是拥有一个开放标准的好处——任何人都可以编写支持该标准的软件。

8、Container Runtime Interface (CRI)

CRI是Kubernetes用来控制创建和管理容器的不同运行时的协议。

CRI是您可能希望使用的任何类型的容器运行时的抽象。因此，CRI使Kubernetes更容易使用不同的容器运行时。

与Kubernetes项目需要手动添加对每个运行时的支持不同，CRI API描述了Kubernetes如何与每个运行时交互。因此，实际管理容器的任务就交给运行时了。只要它遵守CRI API，它就可以做任何它想做的事情。

因此，如果您更喜欢使用containerd来运行您的容器，您可以这样做。或者，如果您更喜欢使用CRI-O，那么您可以这样做。这是因为这两个运行时都实现了CRI规范。

如果您是终端用户(比如开发人员)，那么实现基本上不重要。不同的CRI实现之间有细微的差别，但它们都是可插入和无缝更改的。

如果你花钱从供应商那里获得支持(安全性、bug修复等)，那么你对运行时的选择可能很重要。例如，红帽的OpenShift使用了crI-o，并提供了对它的支持。Docker为自己的containerd提供支持。

如何在Kubernetes中检查容器运行时?

在Kubernetes体系结构中，kubelet(运行在每个节点上的代理)负责向容器运行时发送启动和运行容器的指令。

您可以通过查看每个节点上的kubelet参数来检查正在使用哪个容器运行时。有一个选项——container-runtime和——container-runtime-endpoint用于配置要使用的运行时。

9、containerd

containerd是一个来自Docker的高级容器运行时，实现了CRI规范。它从镜像仓库中拉取镜像，管理它们，然后移交给低级运行时，后者实际创建并运行容器进程。

containerd从Docker项目中分离出来，使Docker更加模块化

Docker在内部使用containerd。当你安装Docker时，它也会安装containerd。

containerd通过其CRI插件实现了Kubernetes容器运行时接口(CRI)。

10、CRI-O

CRI- O是实现容器运行时接口(CRI)的另一种高级容器运行时。

它是容器的另一种选择。它从仓库拉取容器镜像，在磁盘上管理它们，并启动较低级的运行时来运行容器进程。

是的，CRI-O是另一个容器运行时。它诞生于红帽、IBM、英特尔、SUSE和其他公司。

它是专门为Kubernetes创建的一个容器运行时。它提供了启动、停止和重新启动容器的能力，就像containerd一样。

11、Open Container Initiative (OCI)

OCI是一组技术公司，他们维护容器镜像格式的规范，以及容器应该如何运行。

OCI背后的思想是，您可以选择符合规范的不同运行时。每个运行时都有不同的底层实现。

例如，您的Linux主机可能有一个与oci兼容的运行时，Windows主机可能有一个。

这就是拥有一个可以由许多不同项目实现的标准的好处。从蓝牙设备到Java api，这种“一个标准，多种实现”的方法到处都在使用。

12、runc

runc是一个兼容oci的容器运行时。它实现OCI规范并运行容器进程。

runc被称为OCI的参考实现。

runc提供容器的所有底层功能，与现有的底层Linux特性(如名称空间和控制组)交互。它使用这些特性来创建和运行容器进程。

runc的替代方案是：

• crun
• kata-runtime
• gvisor

OK，以上就是关于容器、docker，k8s，runc，CRI，OCI，containerd,CRI-O这些概念的区别！

如果还不清楚，可以再回过头来看看上面的那张图。