什么是 CONTAINERD？

之前我们已经围绕 containerd 的不同功能，设计方式，以及解决的一些问题进行了几次讨论。Containerd 由 Docker(www.alauda.cn)，Kubernetes( http://www.alauda.cn/product/detail/id/68.html) CRI 和其他几个项目使用，不过这个帖子是写给可能并不知道 containerd 在这些平台中具体做什么的人。将来我想围绕 containerd 的功能集和设计上多写一些东西，但现在我们将从基础开始说起。 我认为容器系统有时有点让人难以理解，尤其是我们使用的术语。这是什么？运行时。这个呢？运行时... containerd 从名字上看，并不像有的人告诉我包含电脑迷之类的，containerd 是一个容器后台驻留程序。它最初是作为 OCI 运行时的集成点，例如 runC。但在过去六个月里，它增加了很多功能，使其符合现代容器平台（例如 Docker 和 Kubernetes ）的需求。

由于在内核空间中没有像 Linux containers 这样的东西，容器就是将各种内核功能捆绑在一起。当构建一个大型平台或分布式系统时，您希望有一个抽象层来运行一个容器，这个抽象层把管理代码、系统调用和内核功能隔离开来。这个抽象层就是 containerd 发挥作用的地方。containerd 提供了客户端层，平台在这个基础上搭建，而不必在内核层。与用 clone （）或 mount （）管理调用相比，使用 Container, Task,和 Snapshot 类型的对象则要愉快的多。 Containerd 是针对 Dockerwww.alauda.cn 和 Kubernetes( http://www.alauda.cn/product/detail/id/68.html)以及任何其他容器平台使用而设计的，这些平台希望免除系统调用以及操作系统特定的功能，直接在 linux，windows，solaris 或其他操作系统上运行容器。考虑到这些用户，我们想确保 containerd 只有他们需要的功能，而没有其他不需要的功能。实际上这是不可能的，但至少这是我们努力的方向。像网络之类的，不在 containerd 考虑的范围。原因在于，当构建分布式系统时，网络是一个非常重要的方面。现在，有了 SDN 和服务发现技术，网络是更细化的平台，而不只是在 linux 上抽出 netlink 调用。大多数新的覆盖网络是基于路由的，并且每当创建或删除新的容器时，需要更新路由表。服务发现、DNS 等都必须被通知这些更改。如果我们向 containerd 添加了网络，将会有很繁重的大块代码来支持所有不同的网络接口，钩子和集成点。而我们做的，则是选择了 containerd 内部强大的事件系统，以便多个客户订阅他们关心的事件。我们还公开了一个任务的 API，允许用户创建一个正在运行的任务，并向容器的网络命名空间添加接口，然后启动容器的进程，而不用在容器生命周期的各个不同节点调用复杂的钩子。 过去几个月里，在 containerd 里添加的另一个领域是完整的存储和分发系统，支持 OCI 和 Docker 的镜像格式。在 containerd API 中有一个完整的内容寻址存储系统，不仅用于镜像，还用于连接到容器的元数据、检查点和任意数据。 我们也花时间重新思考了“ graphdrivers ”的工作原理。这些是覆盖或块级文件系统，允许镜像具有 layers，支持高效构建。Graphdrivers 最初是 Solomon 和我一起做的，当时添加了对 devicemapper 的支持。那个时候，Docker 只支持 AUFS，因此我们模仿 overlay 文件系统做了 graphdrivers。然而，做一个像 devicemapper/lvm 这样的块级文件系统，并且性能像 overlay 文件系统一样，从长远来看要更难一些。接口必须不断扩展，以支持不断增加的功能需要。对于 containerd，我们采取了一个截然不同的处理方法，使 overlay 文件系统像一个 snapshotter，而不是反过来的情况。我们这样做更容易，因为 overlay 文件系统比 BTRFS，ZFS 和 devicemapper 等给文件系统做快照的更灵活，因为后者没有严格的父 /子关系。这有助于我们为 snapshotters 构建一个较小的接口，同时仍满足诸如构建之类的需求，并减少所需的代码量，因此从长远来看更易维护。 那么，用 containerd，能 get 到什么？您可以拉取镜像以及管理镜像。使用 API 去创建，执行和管理容器及其任务，从而获取容器的整个运行周期。一个专门用于快照管理的 API。从本质上说，你只需要构建一个容器平台，而不必处理底层操作系统的细节。我认为 containerd 的最重要部分，是具有一个稳定的 API 版本，可以修复 bug 和安全补丁反向移植。