目录
为什么会从 Kubernetes 中移除 dockershim ?
为什么会从 Kubernetes 中移除 dockershim ?
Kubernetes 的早期版本仅适用于特定的容器运行时:Docker Engine。 后来,Kubernetes 增加了对使用其他容器运行时的支持。创建CRI 标准是为了实现编排器(如 Kubernetes)和许多不同的容器运行时之间交互操作。 Docker Engine 没有实现(CRI)接口,因此 Kubernetes 项目创建了特殊代码来帮助过渡, 并使 dockershim 代码成为 Kubernetes 的一部分。
dockershim 代码一直是一个临时解决方案(因此得名:shim)。维护 dockershim 已经成为 Kubernetes 维护者的沉重负担。
此外,在较新的 CRI 运行时中实现了与 dockershim 不兼容的功能,例如 cgroups v2 和用户命名空间。 从 Kubernetes 中移除 dockershim 允许在这些领域进行进一步的开发。
cri-dockerd 是什么?
在 Kubernetes v1.24 及更早版本中,你可以在 Kubernetes 中使用 Docker Engine, 依赖于一个称作
dockershim
的内置 Kubernetes 组件。 dockershim 组件在 Kubernetes v1.24 发行版本中已被移除;不过,一种来自第三方的替代品,
cri-dockerd
是可供使用的。
cri-dockerd
适配器允许你通过 容器运行时接口(Container Runtime Interface,CRI) 来使用 Docker Engine。
说明:
如果你已经在使用
cri-dockerd
,那么你不会被 dockershim 的移除影响到。
如果你想要迁移到
cri-dockerd
以便继续使用 Docker Engine 作为你的容器运行时, 你需要在所有被影响的节点上执行以下操作:
- 安装
cri-dockerd
;- 隔离(Cordon)并腾空(Drain)该节点;
- 配置 kubelet 使用
cri-dockerd
;- 重新启动 kubelet;
- 验证节点处于健康状态。
准备开始
- 安装了 cri-dockerd 并且该服务已经在各节点上启动;
- 一个网络插件。
隔离并腾空节点
-
隔离节点,阻止新的 Pod 被调度到节点上:
kubectl cordon <NODE_NAME>将
<NODE_NAME>
替换为节点名称。 -
腾空节点以安全地逐出所有运行中的 Pod:
kubectl drain <NODE_NAME> --ignore-daemonsets
配置 kubelet 使用 cri-dockerd
下面的步骤适用于用 kubeadm 工具安装的集群。如果你使用不同的工具, 你需要使用针对该工具的配置指令来修改 kubelet。
- 在每个被影响的节点上,打开
/var/lib/kubelet/kubeadm-flags.env
文件;- 将
--container-runtime-endpoint
标志,将其设置为
unix:///var/run/cri-dockerd.sock
。
kubeadm 工具将节点上的套接字存储为控制面上
Node
对象的注解。 要为每个被影响的节点更改此套接字:
编辑
Node
对象的 YAML 表示:KUBECONFIG=/path/to/admin.conf kubectl edit no <NODE_NAME>根据下面的说明执行替换:
/path/to/admin.conf
:指向 kubectl 配置文件
admin.conf
的路径;
<NODE_NAME>
:你要修改的节点的名称。
将
kubeadm.alpha.kubernetes.io/cri-socket
标志从
/var/run/dockershim.sock
更改为
unix:///var/run/cri-dockerd.sock
;保存所作更改。保存时,
Node
对象被更新。
重启 kubelet
systemctl restart kubelet
验证节点处于健康状态
要检查节点是否在使用
cri-dockerd
端点, kubelet 的
--container-runtime-endpoint
标志取值应该是
unix:///var/run/cri-dockerd.sock
。
解除节点隔离
kubectl uncordon <NODE_NAME>