runc 是一个 CLI 工具,用于根据 OCI 规范在 Linux 上孕育和运行容器。
发布
你可以在 release 页面找到 runc 的正式发布版本。
构建
runc 仅支持 Linux。它必须使用 Go 1.19 或更高版本构建。
为了启用 seccomp 支持,你需要在你的平台上安装 libseccomp 。
例如 CentOS 的
libseccomp-devel或 Ubuntu 的libseccomp-dev
bash
# 在 GOPATH/src 中创建 "github.com/opencontainers
cd github.com/opencontainers
git clone https://github.com/opencontainers/runc
cd runc
make
sudo make install你也可以使用 go get 安装到你的 GOPATH,前提是你已经在 src 下创建了一个 github.com 父文件夹:
bash
go get github.com/opencontainers/runc
cd $GOPATH/src/github.com/opencontainers/runc
make
sudo make installrunc将被安装到系统中的/usr/local/sbin/runc`。
编译标志
runc 支持可选的编译标志,以编译支持各种特性、 其中一些标签默认已启用(参见顶级 Makefile 中的 BUILDTAGS)。
要更改默认的联编标志,请为 make 设置 BUILDTAGS 变量、 例如,禁用 seccomp:
bash
make BUILDTAGS=""| 构建标志 | 特性 | 默认开启 | 依赖 |
|---|---|---|---|
seccomp |
使用 libseccomp 过滤系统调用。 |
是 | libseccomp |
!runc_nodmz |
通过使用小型 C 二进制文件减少 CVE-2019-5736 保护的内存使用量,[更多详情请参见 memfd-bind][contrib-memfd-bind]。runc_nodmz 会禁用此功能,并导致 runc 使用不同的保护机制,这将在容器启动期间暂时进一步增加内存使用量。也可以通过设置 RUNC_DMZ=legacy 环境变量在运行时禁用此功能。 |
是 | |
runc_dmz_selinux_nocompat |
禁用 SELinux DMZ 解决方法(新发行版应设置此项)。详情请参阅 [dmz README] 。 | 否 |
以下构建标记曾在早期使用,但现已过时:
- nokmem(自 runc v1.0.0-rc94 版起内核内存设置被忽略)
- apparmor(自 runc v1.0.0-rc93,该功能始终处于启用状态)
- selinux(自 runc v1.0.0-rc93 起始终启用该功能)
运行测试套件
runc 目前支持通过 Docker 运行测试套件。 要运行测试套件,只需键入 make test。
bash
make test有一些额外的 make target 可用于在容器外运行测试,但不建议这样做,因为编写测试时希望它们能在任何地方写入和删除。
你可以通过设置 TESTFLAGS 变量来运行特定的测试用例。
bash
# make test TESTFLAGS="-run=SomeTestFunction"您可以通过设置 TESTPATH 变量来运行特定的集成测试。
bash
# make test TESTPATH="/checkpoint.bats"通过设置 ROOTLESS_TESTPATH 变量,可以运行特定的无根集成测试。
bash
# make test ROOTLESS_TESTPATH="/checkpoint.bats"您可以通过设置 CONTAINER_ENGINE_BUILD_FLAGS 和 CONTAINER_ENGINE_RUN_FLAGS 变量,使用容器引擎的标志运行测试。
bash
# make test CONTAINER_ENGINE_BUILD_FLAGS="--build-arg http_proxy=http://yourproxy/" CONTAINER_ENGINE_RUN_FLAGS="-e http_proxy=http://yourproxy/"依赖关系管理
runc 使用 Go Modules 进行依赖管理。 请参阅 Go Modules,了解如何添加或更新新的依赖项。
bash
# 更新供应商依赖关系
make vendor
# 验证全部依赖
make verify-dependencies使用 runc
请注意,runc 是一个低级工具,在设计时并没有考虑最终用户的需求。 它主要由其他更高级别的容器软件使用。
因此,除非有某些特定用例阻止使用 Docker 或 Podman 等工具,否则不建议直接使用 runc。
如果你仍然想使用 runc,下面是使用方法。
创建 OCI Bundle
要使用 runc,你的容器必须是 OCI Bundle格式。 如果你已经安装了 Docker,可以使用它的 export 方法从现有的 Docker 容器中获取根文件系统。
bash
# 创建最顶层的目录
mkdir /mycontainer
cd /mycontainer
# 创建rootfs目录
mkdir rootfs
# 通过docker把busybox导出到rootfs目录
docker export $(docker create busybox) | tar -C rootfs -xvf -在填充根文件系统后,您只需在 bundle 中以 config.json 文件的格式生成规范。 runc 提供了一个 spec 命令来生成基本模板规范,然后您就可以对其进行编辑。 要查找规范中字段的功能和文档,请参阅 specs 资源库。
bash
runc spec运行容器
假设你在上一步中获得了一个 OCI Bundle,你可以用两种不同的方式执行容器。
第一种方式是使用便捷命令 run,它将处理容器的创建、启动和退出后的删除。
bash
# 以root用户运行
cd /mycontainer
runc run mycontainerid如果你使用未修改的 runc spec 模板,就会在容器内生成一个 sh 会话。
启动容器的第二种方法是使用规范生命周期操作。 这使您对容器运行时的创建和管理方式拥有更多权力。 这也将在后台启动容器,因此您必须编辑 config.json,删除下面简单示例中的 terminal 设置。 请参阅 runc 终端处理 的更多详情。 您在 config.json 中的进程字段应该如下所示,其中包含 "terminal": false 和 "args": ["sleep", "5"]。
json
"process": {
"terminal": false,
"user": {
"uid": 0,
"gid": 0
},
"args": [
"sleep", "5"
],
"env": [
"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"TERM=xterm"
],
"cwd": "/",
"capabilities": {
"bounding": [
"CAP_AUDIT_WRITE",
"CAP_KILL",
"CAP_NET_BIND_SERVICE"
],
"effective": [
"CAP_AUDIT_WRITE",
"CAP_KILL",
"CAP_NET_BIND_SERVICE"
],
"inheritable": [
"CAP_AUDIT_WRITE",
"CAP_KILL",
"CAP_NET_BIND_SERVICE"
],
"permitted": [
"CAP_AUDIT_WRITE",
"CAP_KILL",
"CAP_NET_BIND_SERVICE"
],
"ambient": [
"CAP_AUDIT_WRITE",
"CAP_KILL",
"CAP_NET_BIND_SERVICE"
]
},
"rlimits": [
{
"type": "RLIMIT_NOFILE",
"hard": 1024,
"soft": 1024
}
],
"noNewPrivileges": true
},现在,我们可以在 shell 中进行生命周期操作了。
bash
# 以root用户身份运行
cd /mycontainer
runc create mycontainerid
# 查看容器是否已创建并处于 "created "状态
runc list
# 启动容器内的进程
runc start mycontainerid
# 5 秒后查看容器是否已退出并处于停止状态
runc list
# 现在删除容器
runc delete mycontainerid这样,高层系统就可以在容器创建后和/或删除前设置各种设置,从而增强容器的创建逻辑。例如,容器的网络堆栈通常是在 "创建 "之后但在 "启动 "之前设置的。
无 root 权限的容器
runc 可以在没有 root 权限的情况下运行容器。这被称为 rootless。要运行无根容器,需要向 runc 传递一些参数。请参见下文并与之前的版本进行比较。
注意: 要使用此功能,必须在内核中编译并启用 "User Namespace"。根据发行版的不同,有多种方法可以做到这一点:
- 确认内核配置中设置了
CONFIG_USER_NS=y(通常在/proc/config.gz)。 - Arch/Debian:
echo 1 > /proc/sys/kernel/unprivileged_userns_clone. - RHEL/CentOS 7:
echo 28633 > /proc/sys/user/max_user_namespaces`. 以普通用户身份运行以下命令:
bash
# 和第一个例子一样
mkdir ~/mycontainer
cd ~/mycontainer
mkdir rootfs
docker export $(docker create busybox) | tar -C rootfs -xvf -
# --rootless参数指示 runc spec 生成无根容器的配置,这将允许你以非 root 用# 户身份运行容器。
runc spec --rootless
# 根参数告诉 runc 在哪里存储容器状态。用户必须可以写入目录。
runc --root /tmp/runc run mycontainerid监督
runc 可以与进程监管程序和 init 系统一起使用,以确保容器在退出时重新启动。 systemd 单元文件的示例如下。
systemd
[Unit]
Description=Start My Container
[Service]
Type=forking
ExecStart=/usr/local/sbin/runc run -d --pid-file /run/mycontainerid.pid mycontainerid
ExecStopPost=/usr/local/sbin/runc delete mycontainerid
WorkingDirectory=/mycontainer
PIDFile=/run/mycontainerid.pid
[Install]
WantedBy=multi-user.target