作者:Nived V
译者:geekpi
在学习 容器镜像 时,我们讨论了容器的基本原理,但现在是深入研究容器运行时的时候了,从而了解容器环境是如何构建的。本文的部分信息摘自 开放容器计划(OCI)的 官方文档,所以无论使用何种容器引擎,这些信息都是一致的。
容器运行机制
那么,当你运行 podman run
或 docker run
命令时,在后台到底发生了什么?一个分步的概述如下:
CMD、来自用户输入的
ENTRYPOINT、设置 SECCOMP 规则等设置,以确保容器按预期运行
容器运行时负责上述所有的工作。当我们提及容器运行时,想到的可能是 runc、lxc、containerd、rkt、cri-o 等等。嗯,你没有错。这些都是容器引擎和容器运行时,每一种都是为不同的情况建立的。
容器运行时更侧重于运行容器,为容器设置命名空间和控制组(cgroup),也被称为底层容器运行时。高层的容器运行时或容器引擎专注于格式、解包、管理和镜像共享。它们还为开发者提供 API。
开放容器计划(OCI)
开放容器计划(OCI)是一个 Linux 基金会的项目。其目的是设计某些开放标准或围绕如何与容器运行时和容器镜像格式工作的结构。它是由 Docker、rkt、CoreOS 和其他行业领导者于 2015 年 6 月建立的。
它通过两个规范来完成如下任务:
1、镜像规范
该规范的目标是创建可互操作的工具,用于构建、传输和准备运行的容器镜像。
该规范的高层组件包括:
2、运行时规范
该规范用于定义容器的配置、执行环境和生命周期。config.json
文件为所有支持的平台提供了容器配置,并详细定义了用于创建容器的字段。在详细定义执行环境时也描述了为容器的生命周期定义的通用操作,以确保在容器内运行的应用在不同的运行时环境之间有一个一致的环境。
Linux 容器规范使用了各种内核特性,包括命名空间、控制组、权能、LSM 和文件系统隔离等来实现该规范。
小结
容器运行时是通过 OCI 规范管理的,以提供一致性和互操作性。许多人在使用容器时不需要了解它们是如何工作的,但当你需要排除故障或优化时,了解容器是一个宝贵的优势。
本文基于 techbeatly 的文章,并经授权改编。
via: https://opensource.com/article/21/9/container-runtimes
作者: Nived V 选题: lujun9972 译者: geekpi 校对: turbokernel
本文由 LCTT 原创编译, Linux中国 荣誉推出
