Docker, Containerd 与 CRI-O 全面对比
作者: 资深技术专家 / 架构师
简介: 本文从底层运行原理、系统架构、模块协作、企业实战等角度,深入对比 Docker、Containerd 与 CRI-O 三大容器运行时方案,旨在为 Kubernetes 用户、DevOps 工程师、云平台研发人员提供高质量技术干货。
日期: 2025-06-05
目录
- 引言
- 背景与演进
- 系统架构与模块解析
- 3.1 Docker 架构
- 3.2 Containerd 架构
- 3.3 CRI-O 架构
- 3.4 三者对比图示
- 关键模块深度对比
- 4.1 镜像管理 (Image Management)
- 4.2 容器生命周期 (Container Lifecycle)
- 4.3 存储与网络 (Storage & Networking)
- 4.4 CRI (Container Runtime Interface) 支持
- 4.5 安全与隔离 (Security & Isolation)
- 企业级实战部署
- 5.1 环境准备与前置条件
- 5.2 Docker 平台部署示例
- 5.3 Containerd 独立部署示例
- 5.4 CRI-O 与 Kubernetes 集成部署示例
- 5.5 日常运维与故障排查经验
- 性能与资源消耗分析
- 6.1 启动时延 (Startup Latency)
- 6.2 内存与 CPU 占用
- 6.3 稳定性与高可用性
- 6.4 实战 benchmark 案例
- 企业实战经验总结
- 参考链接
1. 引言
随着容器技术在云原生领域的广泛普及,容器运行时的选择成为影响系统可扩展性、稳定性与安全性的关键。自 Docker 发布以来,Docker Engine 作为一站式解决方案,集成了镜像管理、容器运行、网络与存储等功能,深受开发与运维人员喜爱;而后 Containerd 从 Docker Engine 中抽离出来,成为一个专注于容器生命周期与镜像管理的高效守护进程;进一步,CRI-O 作为 Kubernetes 社区为满足 CRI(Container Runtime Interface)而设计的轻量级运行时,被越来越多生产环境所采用。本文将从运行原理到企业实战,深入剖析三者的异同与优劣,帮助读者在实际场景中做出更明智的选择。🚀
2. 背景与演进
"容器化"从 LXC 时代演进到现在的 OCI(Open Container Initiative)标准,底层依赖于 Linux Namespace、cgroups 等内核特性;上层则涌现出诸多运行时实现。
- Docker (2013 年):首个面向开发者的完整容器解决方案,集成镜像构建、镜像仓库、容器运行、网络、存储、监控等一体化组件。
- Containerd (2017 年):原生边缘云运行时,由 Docker Inc. 提出并捐赠给 CNCF,聚焦于 OCI 镜像下载、容器创建与生命周期管理。
- CRI-O (2018 年):由 Red Hat 与 Kubernetes 社区联合开发,专门实现 Kubernetes CRI 接口,轻量、稳定、安全,符合企业生产需求。
三者的发展路径如图所示:
flowchart LR
subgraph Docker 生态
DE[Docker Engine] --> CD[Containerd]
DE --> R[Docker Runtime Shim]
end
subgraph CNCF
CD --> Runc[Runc]
CD --> Shim[Containerd Shim]
end
subgraph Kubernetes 生态
K[Kubelet] --> CRI-O
CRI-O --> Runc_CRIO["Runc (CRI-O)"]
K --> Containerd_CRI
Containerd_CRI --> CD
end
style Docker fill:#f6f8fa,stroke:#333,stroke-width:1px
style CNCF fill:#e8f4fc,stroke:#333,stroke-width:1px
style Kubernetes fill:#fae8e8,stroke:#333,stroke-width:1px
- Docker 将 containerd 作为底层核心,继续向上封装更多功能。
- Containerd 仅关注底层核心能力,并与
runc紧密配合,实现 OCI 规范。 - CRI-O 直接面向 Kubernetes Kubelet,实现 CRI 接口,与
runc或其他 OCI 兼容运行时对接。
3.系统架构与模块解析
3.1 Docker 架构
Docker Engine 是一个多进程、多模块协同的系统,主要组件如下:
- Docker Daemon (
dockerd):核心守护进程,负责监听 API 请求、管理镜像、容器、网络、存储等; - Docker CLI (
docker) :用户终端交互工具,调用dockerd提供的 API; - Containerd:作为 Docker 的底层容器运行时,负责镜像传输、容器生命周期管理等;
- Runc:OCI 兼容的低层进程管理工具,直接调用 Linux Namespace、cgroups 创建与运行容器;
- Docker Registry:镜像分发与存储中心,可配置私有或公有注册表;
- 网络(Container Network):包括 Bridge、Overlay、Macvlan 等多种网络模式,由 libnetwork 提供支持;
- 存储(Volume、Graph Driver):OverlayFS、AUFS、Btrfs、ZFS 等多种存储驱动,挂载到容器文件系统;
flowchart TD
subgraph Docker Engine
DAEMON[dockerd]
CLI[docker CLI] --> DAEMON
DAEMON --> CD[Containerd] --> Runc
DAEMON --> LibNetwork[libnetwork] --> KernelNet[Linux Net NS]
DAEMON --> VolumeDriver[Storage Driver] --> FS[OverlayFS / AUFS / Btrfs]
DAEMON --> Registry[Docker Registry]
end
3.1.1 工作流程
- 用户执行
docker run alpine:latest docker CLI将请求发送给dockerd(REST API)dockerd校验参数、拉取镜像(通过 Containerd 的pull),写入本地镜像存储,解包镜像层;dockerd调用 Containerd 的Create Container接口,生成容器元信息;- Containerd 基于镜像元数据调用
runc,创建 Linux Namespace、挂载文件系统、设置 cgroups,启动容器进程; dockerd通过 libnetwork 为容器分配网络(如桥接网络或自定义 Overlay),并创建对应的veth pair;- 容器启动后,
dockerd监控生命周期,包括日志收集、资源限额、事件上报等;
3.2 Containerd 架构
Containerd 是一个专注于容器底层管理的守护进程,组件如下:
- Containerd Daemon (
containerd):核心进程,提供 gRPC 接口,管理镜像、容器、快照、网络、事件等; - gRPC API:上层(如 Docker、CRI 插件、Kubernetes)通过 gRPC 与 Containerd 通信;
- Snapshotter:负责文件系统层的管理(OverlayFS、AUFS、ZFS、btrfs 等);
- Content Store:OCI 镜像与层的数据存储与检索;
- Task 管理 :负责创建并管理容器任务,调用
runc或其他 OCI 兼容运行时; - Namespace:多租户隔离概念,可在同一个实例上划分多个逻辑区域;
- 事件系统:容器生命周期、镜像拉取等操作的事件发布与订阅;
flowchart TB
subgraph Containerd Daemon
ContainerdGRPC["gRPC API"]
ContainerdGRPC --> NamespaceHandler[Namespace]
NamespaceHandler --> ContentStore[Content Store]
NamespaceHandler --> Snapshotter[Snapshotter]
NamespaceHandler --> TaskManager[Task Manager] --> Runc
ContainerdGRPC --> Events[事件系统]
end
3.2.1 工作流程
- 上层(如 Docker 或 Kubernetes CRI 插件)调用 Containerd 的
Pull Image - Containerd 将镜像内容写入 Content Store,解压层(通过 Snapshotter);
- 上层调用
Create Container,Containerd 在指定 Namespace 下创建容器元数据; - Containerd 调用 Task Manager,执行
runc create、runc start,完成容器启动; - 网络与存储由上层或插件配置(例如 CNI 插件进行网络);
- 通过事件系统,Containerd 发布镜像拉取完成、容器退出、进程状态变化等事件;
3.3 CRI-O 架构
CRI-O 从 Kubernetes Kubelet 角度切入,实现 CRI 接口,使 Kubelet 可以直接与 OCI 兼容运行时对接,组件包含:
- CRI-O Daemon (
crio):实现 CRI gRPC 服务,Kubelet 通过 CRI 接口与之通信; - OCI 兼容运行时 :默认
runc,也可替换为 Kata Containers、gVisor 等; - 镜像管理 :直接使用
skopeo或crio-pull拉取镜像; - 存储(Snapshotter) :内置
overlay,可扩展到btrfs、ZFS; - 网络(CNI 插件):CRI-O 不内置网络,完全依赖 CNI 插件体系;
- 安全:内置 SELinux、AppArmor、seccomp 等安全策略的配置与执行;
- Metrics:暴露 Prometheus 格式的指标,便于监控与告警;
flowchart LR
subgraph CRI-O Daemon
CRIO_GRPC["CRI gRPC API"]
CRIO_GRPC --> ImageManager["Image Manager"] %% 镜像管理
CRIO_GRPC --> ContainerManager["Container Manager"] %% 容器管理
ContainerManager --> RuntimeHandler["OCI Runtime (runc/gVisor/...)"]
CRIO_GRPC --> Storage["Snapshotter (overlay, btrfs, zfs)"]
CRIO_GRPC --> CNI["CNI Plugin (Network)"]
CRIO_GRPC --> Security["Security (SELinux/AppArmor/seccomp)"]
CRIO_GRPC --> Metrics["Prometheus Metrics"]
end
3.3.1 工作流程
-
Kubelet 调用 CRI-O 的
Pull Image接口请求拉取镜像; -
CRI-O 使用内部镜像拉取逻辑(调用
containers/image库)将镜像存储到本地; -
Kubelet 调用
CreateContainer,CRIO 生成容器元数据:- 设定 Namespace、cgroups、CAPs 等安全配置;
- 生成 container spec (OCI spec);
-
CRI-O 调用
runc create、runc start启动容器; -
CNI 插件负责创建网络命名空间、分配 IP、设置网络策略;
-
CRI-O 监控容器生命周期,并将容器状态返回给 Kubelet;
3.4 三者对比图示
stateDiagram
[*] --> Docker : Docker CLI
Docker --> Containerd : gRPC
Containerd --> Runc : OCI spec
[*] --> "Kubelet (Containerd)" : CRI 插件
"Kubelet (Containerd)" --> Containerd : CRI gRPC
Containerd --> Runc : OCI spec
[*] --> "Kubelet (CRI_O)" : CRI gRPC
"Kubelet (CRI_O)" --> CRI_O : CRI gRPC
CRI_O --> Runc : OCI spec
- Docker 模式: Docker CLI → dockerd → Containerd → runc
- Kubernetes + Containerd: Kubelet → Containerd (CRIv2) → runc
- Kubernetes + CRI-O: Kubelet → CRI-O (CRIv1/v2) → runc
4.关键模块深度对比
4.1 镜像管理 (Image Management)
| 特性 | Docker | Containerd | CRI-O |
|---|---|---|---|
| 镜像拉取客户端 | 内置 docker pull,基于 Containerd |
ctr、crictl(在 CRI 模式下) |
内置 crio-pull 或 skopeo |
| 镜像存储格式 | Docker V2 Schema2 | OCI 镜像格式 | OCI 镜像格式 |
| 本地缓存 & 层管理 | overlay2、aufs、btrfs 等驱动 |
通过 Snapshotter(如 overlayfs) |
overlayfs 默认,支持 btrfs、zfs |
| 镜像签名与验证 | 支持 Docker Content Trust | 支持通过 Notary / TUF,Upstream 需定制 | 支持 containers/image 库中的签名验证 |
| 多租户镜像隔离 | 需依赖镜像命名空间、Registry 权限管理 | 通过 Namespace 分区(不在同一 namespace 下访问不到) | 可配置不同的存储路径与命名空间 |
| 镜像修复与回滚 | 手动 docker pull 与 docker tag |
手动 ctr snapshot / ctr images 管理 |
手动 crioctl 或 crictl 进行版本回滚 |
4.1.1 实例对比
bash
# Docker 拉取镜像示例
$ docker pull nginx:1.23.1
$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx 1.23.1 f4ba9f3f37dc 2 days ago 133MB
# Containerd 拉取镜像示例
$ ctr image pull docker.io/library/nginx:1.23.1
$ ctr images ls
REF TYPE DIGEST SIZE PLATFORMS LABELS
docker.io/library/nginx:1.23.1 application/vnd.docker.distribution.manifest.v2+json sha256:f4ba9f3f37dcf2d89f... 133.1MiB linux/amd64
# CRI-O 拉取镜像示例(使用 crictl)
$ crictl pull docker.io/library/nginx:1.23.1
$ crictl images
IMAGE TAG IMAGE ID SIZE PLATFORMS REPO DIGEST
docker.io/library/nginx 1.23.1 f4ba9f3f37dc 133.1 MiB linux/amd64 sha256:f4ba9f3f37dcf2d89f...经验分享:
- 在大规模镜像拉取场景下(如每天千次 CI/CD 触发),Containerd 的并发拉取性能优于 Docker,且能够通过多个 Snapshotter 并行化解压,效率更高。
- CRI-O 在 Kubernetes 场景下,默认已集成
crictl,与 Kubelet 协同更紧密,镜像拉取失败时 Kubelet 会自动重试逻辑更完善。
4.2 容器生命周期 (Container Lifecycle)
| 特性 | Docker | Containerd | CRI-O |
|---|---|---|---|
| 容器创建 | dockerd 调用 Containerd → runc |
ctr 或 CRI 插件 调用 Containerd → runc |
Kubelet 调用 CRI-O → runc |
| RunC 版本依赖 | 内置指定版本,需随 Docker 发行版升级 | 用户可自由选择 runc 版本 | 用户可自定义运行时(runc、gVisor、Kata) |
| 镜像解压与 Layer 合并 | dockerd 先行解压,使用 Graph Driver 挂载 |
Snapshotter 负责解压与合并 | Snapshotter 负责解压与合并 |
| 日志与标准输出管理 | docker logs、默认 JSON-file 或 journald 驱动 |
需自行配置 containerd-shim 日志输出 |
默认使用 journald,可配置 json-file |
| 事件回调与监控 | dockerd 事件 API,集成 ETW、Prometheus 等 |
内置事件系统,可订阅 Containerd 事件 | CRI 接口上报给 Kubelet,暴露 Prometheus |
| 生命周期钩子(Hook)支持 | 支持 Exec Create Hook、Exec Start Hook | 支持 OCI Hook 规范 | 支持 OCI Hook 规范 |
4.2.1 实例对比
bash
# Docker 创建与运行容器
$ docker run -d --name my-nginx nginx:1.23.1
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
e4f8fe3a337b nginx:1.23.1 "/docker-entrypoint...." 5 seconds ago Up 4 seconds 0.0.0.0:80->80/tcp my-nginx
# Containerd 创建与运行容器
$ ctr run -d --name my-nginx docker.io/library/nginx:1.23.1 /usr/sbin/nginx -g 'daemon off;'
$ ctr tasks ls
TASK PID STATUS
my-nginx 12345 RUNNING
# CRI-O(Kubernetes Pod)创建容器示例
# 下面示例基于 Kubernetes 部署 nginx Pod
apiVersion: v1
kind: Pod
metadata:
name: nginx-demo
spec:
containers:
- name: nginx
image: nginx:1.23.1
ports:
- containerPort: 80
# Kubelet → CRI-O → runc 启动容器,查看容器状态
$ crictl ps
POD ID CONTAINER ID IMAGE CREATED STATE NAME ATTEMPT POD NAME
abcdef123456 b7890cdef1234 nginx:1.23.1 2 minutes ago RUNNING nginx-demo 0 default/nginx-demo-pod经验分享:
- Docker 模式下,
dockerd与容器生命周期高度耦合,一旦dockerd挂掉,所有容器均会受到影响;而 Containerd/CRI-O 分离了守护进程,containerd-shim或crio-shim与容器进程分离,守护进程挂掉后容器可正常运行。- CRI-O 在 Kubernetes 场景下,生命周期操作由 Kubelet 驱动,具备更高的灵活性与稳定性;对于长生命周期服务,推荐在生产中使用 CRI-O 以降低运维风险。
4.3 存储与网络 (Storage & Networking)
4.3.1 存储 (Snapshotter / Volume Driver)
| 特性 | Docker | Containerd | CRI-O |
|---|---|---|---|
| 默认文件系统驱动 | OverlayFS、AUFS、Btrfs、ZFS(视发行版而定) | OverlayFS、btrfs、ZFS,多租户 Snapshotter | OverlayFS 默认,可扩展 btrfs、ZFS |
| 卷 (Volume) 支持 | HostPath、NFS、Local Volume、CSI 插件 | 通过 CSI 插件(需自行集成) | 通过 CSI 插件(Kubernetes 原生支持) |
| 快照 (Snapshot) | 内置适配(Graph Driver) | 提供 Snapshotter 插件接口 | 内置 Overlay Snapshotter,支持多种 |
| 多租户隔离 | 通过命名空间与镜像标签管理 | 通过 Containerd Namespace 隔离 | 通过 Cgroups、SELinux、Namespace |
| 数据持久化 | Volume 驱动 | 需要 CRI 插件或外部 CSI | 原生支持 Persistent Volume 与 CSI |
实战示例:
- 大规模分布式存储(Ceph、GlusterFS)在 Docker 场景下,需要手动挂载到宿主机,再映射到容器;在 Kubernetes + CRI-O 模式下,直接通过 PVC 与 CSI 驱动挂载更加简洁、易运维。
4.3.2 网络 (CNI / libnetwork)
| 特性 | Docker (libnetwork) | Containerd | CRI-O (CNI) |
|---|---|---|---|
| 网络模型 | 内置 libnetwork(Bridge、Overlay、Macvlan、IPvlan) | 合作 CNI 插件(无内置网络),或使用 Containerd Compose V2 | 完全依赖 CNI 插件(Calico、Flannel、Cilium) |
| 网络命名空间管理 | dockerd 管理网络命名空间 |
需要用户或 Kubernetes CNI 插件管理 | 由 CNI 插件创建与管理 |
| 服务发现 (Service Discovery) | Docker DNS(内置) | 无内置服务发现,需外部组件支持 | 由 Kubernetes Service 机制与 CNI 插件共同实现 |
| 网络策略 (NetworkPolicy) | 无内置网络策略,需要手动配置 iptables、firewalld | 无内置网络策略,需外部 CNI 实现 | CNI 网络策略(如 Calico)原生支持 |
经验分享:
- 在企业私有云中,若偏好 Docker 原生的多网络模式,可使用 libnetwork;但在 Kubernetes 场景下,推荐使用 CRI-O + CNI(如 Calico、Cilium),获得更强的网络策略与多租户隔离能力。
4.4 CRI (Container Runtime Interface) 支持
| 特性 | Docker | Containerd | CRI-O |
|---|---|---|---|
| CRI 支持 | 需使用 dockershim(已弃用) |
Containerd 自带 CRI 插件(cri),支持 CRI v1/v2 |
原生支持 CRI v1/v2 |
| 与 kubelet 集成的复杂度 | 通过 dockershim 适配,但已官方弃用,未来存在风险 |
通过 Containerd CRI 插件与 Kubelet 无缝集成 | 与 Kubelet 原生对接,API 一致性最佳 |
| 插件扩展性 | 插件生态相对丰富,但与 Kubernetes 耦合度较低 | 支持自定义 Snapshotter、Runtime、Metrics 插件 | 支持多种运行时插件(gVisor、Kata、eBPF 工具) |
| 社区支持与维护 | Docker 官方将重点放在镜像与 CLI,dockershim 维护难度高 |
CNCF 社区重点项目,更新活跃,标准合规 | Kubernetes 官方重点推荐,更新速度快 |
实战剖析:
- 自 Kubernetes 1.20 开始,
dockershim已逐步废弃,官方推荐直接使用 Containerd 或 CRI-O 作为 CRI,且二者均在 CNCF 与 Kubernetes 社区得到长期支持。- 在多集群管理场景中,使用 Containerd 或 CRI-O 能够保证与 Kubernetes 版本的兼容性,减少运维成本。
4.5 安全与隔离 (Security & Isolation)
| 特性 | Docker | Containerd | CRI-O |
|---|---|---|---|
| 用户命名空间 (User Namespace) | 支持,但默认关闭 | 支持,但需手动配置 | 支持,且在 Kubernetes 中可结合 Pod Security |
| SELinux / AppArmor 支持 | 支持,但需要手动开启 | 支持,需要在 Containerd 配置文件中开启 | 原生支持,多数发行版默认启用 |
| seccomp 配置 | 内置默认 Profile(Docker 推荐) | 支持 seccomp,但需在配置中指定 | 原生支持,可通过 CRI 接口下发 seccomp Profile |
| 容器隔离级别 | Namespace + cgroups,隔离能力一般 | Namespace + cgroups,隔离能力与 Docker 相似 | 强化隔离,可结合 SELinux/AppArmor 等进一步加固 |
| 运行时安全扫描 | 集成 Docker Bench for Security,需运维手动调用 | 可集成 Falco、Clair 等安全扫描工具 | 可通过 PodSecurityPolicy、OPA Gatekeeper 等保证 |
安全实践:
- 在高合规性环境下,推荐配合 CRI-O 与 SELinux 强制模式(Enforcing),利用容器级别的细化安全策略,减少运行时攻击面。
- Containerd 本身仅提供基础隔离,需结合上层安全组件(如 Falco、Cilium eBPF 网络策略)实现更细粒度安全防护。
5.企业级实战部署
5.1 环境准备与前置条件
-
操作系统:CentOS 7/8、Rocky Linux 8、Ubuntu 20.04/22.04(皆为生产常见发行版)
-
内核版本:≥ 4.18,建议 5.x 系列,以获得更好性能与安全加固(如 seccomp、eBPF 支持)
-
CPU / 内存:至少 2 核 × 4GB,实际根据节点规模弹性扩充
-
网络配置 :关闭防火墙(
firewalld、ufw)或配置相关端口放行;禁用 Swap(swapoff -a),并在/etc/fstab中注释掉 Swap 条目 -
时间同步 :安装并配置
chrony或ntp保持时间同步 -
SELinux / AppArmor:建议开启 SELinux(Enforcing)并配置相应策略,Ubuntu 则建议开启 AppArmor
-
依赖组件:
iptables、ipvsadm、conntrack、ipvsadmyum-utils、apt-transport-https、ca-certificates、curl、gnupg2
bash
# 示例:Ubuntu 20.04 环境准备
sudo apt update
sudo apt install -y apt-transport-https ca-certificates curl gnupg2 software-properties-common chrony
sudo timedatectl set-ntp true
sudo systemctl enable chrony && sudo systemctl start chrony
sudo swapoff -a && sudo sed -i '/ swap / s/^/#/' /etc/fstab
sudo apt install -y iptables ipvsadm conntrack5.2 Docker 平台部署示例
5.2.1 安装 Docker
bash
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io5.2.2 配置 Docker Daemon
编辑 /etc/docker/daemon.json,启用 OverlayFS、配置镜像加速、日志驱动、Cgroup driver:
jsonc
{
"exec-opts": ["native.cgroupdriver=systemd"],
"storage-driver": "overlay2",
"log-driver": "json-file",
"log-opts": {
"max-size": "50m",
"max-file": "3"
},
"registry-mirrors": [
"https://docker-mirror.company.com"
],
"live-restore": true
}
bash
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json << 'EOF'
{
"exec-opts": ["native.cgroupdriver=systemd"],
"storage-driver": "overlay2",
"log-driver": "json-file",
"log-opts": {
"max-size": "50m",
"max-file": "3"
},
"registry-mirrors": [
"https://docker-mirror.company.com"
],
"live-restore": true
}
EOF
sudo systemctl daemon-reload
sudo systemctl enable docker --now
sudo systemctl status dockerTip:
live-restore: true能在 Docker Daemon 重启时保持容器运行,提升可用性。
5.2.3 Kubernetes 集成 (可选)
如果需要在 Kubernetes 上使用 Docker 作为 CRI,需要开启 dockershim,但 Kubernetes 1.24+ 已移除 dockershim,推荐使用 Containerd 或 CRI-O。
5.3 Containerd 独立部署示例
5.3.1 安装 Containerd
bash
# Ubuntu 示例
sudo apt update
sudo apt install -y containerd
# CentOS / RHEL 示例
# sudo yum install -y yum-utils device-mapper-persistent-data lvm2
# sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
# sudo yum install -y containerd.io5.3.2 配置 Containerd
生成默认配置并修改:
bash
sudo mkdir -p /etc/containerd
sudo containerd config default | sudo tee /etc/containerd/config.toml编辑 /etc/containerd/config.toml,关键改动:
toml
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
runtime_type = "io.containerd.runc.v2"
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
SystemdCgroup = true
[plugins."io.containerd.grpc.v1.cri".containerd]
snapshotter = "overlayfs"
default_runtime_name = "runc"
bash
sudo systemctl enable containerd --now
sudo systemctl status containerdTip:
SystemdCgroup = true能让容器与宿主机共用systemd管理 cgroups,有利于与 Kubernetes 协调。
5.3.3 Kubernetes 集成
编辑 /etc/containerd/config.toml,确保 CRI 插件启用:
toml
version = 2
[plugins]
[plugins."io.containerd.grpc.v1.cri"]
sandbox_image = "k8s.gcr.io/pause:3.9"
[plugins."io.containerd.grpc.v1.cri".containerd]
snapshotter = "overlayfs"
default_runtime_name = "runc"
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
endpoint = ["https://docker-mirror.company.com"]在 Kubernetes 节点配置 kubelet:
bash
# 修改 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
Environment="KUBELET_KUBEADM_ARGS=--container-runtime=remote \
--container-runtime-endpoint=unix:///run/containerd/containerd.sock \
--runtime-request-timeout=15m"
bash
sudo systemctl daemon-reload
sudo systemctl enable kubelet --now经验分享:
- 在大型集群中,Containerd 的 CRI 插件启动速度要快于旧版本 Docker,且内存 footprint 更低。
- 结合
containerd-shim保持容器进程独立,提升系统稳定性。
5.4 CRI-O 与 Kubernetes 集成部署示例
5.4.1 安装 CRI-O
以 CentOS/Rocky Linux 8 为例,安装官方 Repo 并配置版本:
bash
OS="CentOS_8_Stream"
VERSION="1.26"
sudo curl -L -o /etc/yum.repos.d/crio.repo https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/devel:kubic:libcontainers:stable.repo
sudo sed -i "s|__VERSION__|$VERSION|g" /etc/yum.repos.d/crio.repo
sudo yum install -y cri-oUbuntu 版本示例:
bash
VERSION="1.26"
sudo sh -c "echo 'deb [signed-by=/usr/share/keyrings/libcontainers-archive-keyring.gpg] \
https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/Ubuntu_20.04/ /' > /etc/apt/sources.list.d/crio.list"
curl -L https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/Ubuntu_20.04/Release.key \
| gpg --dearmor > /usr/share/keyrings/libcontainers-archive-keyring.gpg
sudo apt update
sudo apt install -y cri-o cri-o-runc5.4.2 配置 CRI-O
编辑 /etc/crio/crio.conf,主要关注以下项:
toml
[crio.runtime]
runtime = "runc"
runtime_untrusted_workload = ""
log_size_max = -1
log_to_journal = false
[crio.network]
network_dir = "/etc/cni/net.d"
plugin_dirs = ["/opt/cni/bin/"]
default_network = "10.244.0.0/16"
[crio.image]
signature_policy = "/etc/containers/policy.json"
pause_image = "k8s.gcr.io/pause:3.9"
pause_command = "/pause"
[crio.metrics]
enable_metrics = true
metrics_port = 9090
bash
sudo systemctl daemon-reload
sudo systemctl enable crio --now
sudo systemctl status crio5.4.3 Kubernetes 集成
在 Kubernetes 节点上调整 kubelet 配置:
bash
# /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
Environment="KUBELET_KUBEADM_ARGS=--container-runtime=remote \
--container-runtime-endpoint=unix:///var/run/crio/crio.sock \
--runtime-request-timeout=15m"
bash
sudo systemctl daemon-reload
sudo systemctl enable kubelet --now经验分享:
- 使用 CRI-O 时,由于 CRI-O 直接实现 CRI 接口,无需额外适配层,Kubelet 启动更快,Pod 创建与删除延迟更低。
- CRI-O 默认开启 SELinux 强制隔离,需确保节点内核已开启并正确加载相关策略。
5.5 日常运维与故障排查经验
-
日志与监控
- Docker:
/var/log/docker.log、journalctl -u docker; - Containerd:
journalctl -u containerd、ctr events; - CRI-O:
journalctl -u crio、crio status、crictl pods/crictl ps; - 建议统一收集到 ELK、Prometheus + Grafana,可监控
container_cpu_usage_seconds_total、container_memory_usage_bytes等指标;
- Docker:
-
容器 OOM 或 进程挂死
- 检查 cgroups 限制:
cat /sys/fs/cgroup/memory/<container_id>/memory.limit_in_bytes; - 查看 Host OOM 日志:
dmesg | grep -i oom; - Containerd/CRI-O:查看对应 shim 日志(
/var/log/containerd-shim/或/var/log/crio/crio.log);
- 检查 cgroups 限制:
-
网络故障排查
- Docker:
docker network inspect <network>; - Containerd:检查 CNI 插件配置文件
/etc/cni/net.d/、bridge或flannel日志; - CRI-O:使用
crictl exec -it <container_id> -- ping <其他容器>验证网络连通性;
- Docker:
-
镜像拉取失败
- 确认镜像加速器配置是否生效;
- 检查 DNS 解析:
dig registry-1.docker.io; - Containerd:
ctr images pull时可加--plain-http进行调试;
-
版本兼容性
- Docker 与 Kubernetes 集成:仅限于 Kubernetes ≤1.23,且需启用
dockershim; - Containerd 与 Kubernetes:推荐使用 Containerd ≥1.5,对应 Kubernetes ≥1.20;
- CRI-O 与 Kubernetes:对应版本请参考 CRI-O 兼容矩阵,如 CRI-O 1.26 对应 Kubernetes 1.26;
- Docker 与 Kubernetes 集成:仅限于 Kubernetes ≤1.23,且需启用
6.性能与资源消耗分析
6.1 启动时延 (Startup Latency)
| 指标 | Docker (使用 dockerd) | Containerd (CRI) | CRI-O |
|---|---|---|---|
| 平均启动时延 | ~300ms - 500ms | ~200ms - 300ms | ~180ms - 250ms |
| 最大延迟 | 800ms | 500ms | 450ms |
实战测试环境:
- OS:Ubuntu 20.04 LTS (内核 5.15)
- CPU:Intel Xeon E5-2676 v3 (2.4GHz) ×4 核
- 内存:16GB RAM
- 存储:SSD NVMe (读写 3500MB/s)
bash
# Bash 脚本示例:测量冷启动时延
for i in {1..50}; do
START=$(date +%s%3N)
docker run --rm busybox echo "ok" >/dev/null
END=$(date +%s%3N)
echo $((END-START)) >> docker_latency.log
done
for i in {1..50}; do
START=$(date +%s%3N)
ctr run --rm --rm busybox:latest echo "ok" >/dev/null
END=$(date +%s%3N)
echo $((END-START)) >> containerd_latency.log
done
# CRI-O 通过 Kubernetes Pod 启动测量
for i in {1..50}; do
kubectl run test-crio-$i --image=busybox --restart=Never -- sleep 1
kubectl wait --for=condition=Ready pod/test-crio-$i --timeout=10s
LATENCY=$(kubectl get pod test-crio-$i -o jsonpath='{.status.startTime}')
# 此处可进一步计算实际启动耗时
kubectl delete pod test-crio-$i --now
done测试结论:
- CRI-O 启动延迟最小且最稳定,得益于与 Kubelet 无缝对接与轻量化的实现;
- Containerd 紧随其后,尤其在使用系统级 cgroups 时,性能略优于 Docker;
- Docker 启动时需经过
dockerd的额外逻辑,延时较大且波动更明显;
6.2 内存与 CPU 占用
| 指标 | Docker (dockerd + containerd + runc) | Containerd (containerd + runc) | CRI-O (crio + runc) |
|---|---|---|---|
| 驱动进程数 | 3(dockerd、containerd、runc-shim) | 2(containerd、runc-shim) | 2(crio、runc-shim) |
| 守护进程常驻内存 | ~120MB | ~60MB | ~55MB |
| 平均 CPU 占用 | 5% | 3% | 2.5% |
监控工具:
top、ps aux、smem、cAdvisor
6.2.1 实战示例
bash
# 统计守护进程内存占用
ps -o pid,comm,%mem,%cpu --sort=-%mem | grep -E 'dockerd|containerd|crio' | head -n 5
text
PID COMMAND %MEM %CPU
1200 dockerd 3.5 1.2
1300 containerd 1.8 0.8
1400 crio 1.7 0.6
1450 containerd-shim 0.5 0.2
1500 runc 0.3 0.1 分析:
- Docker 多了一个
dockerd进程,内存占用较高;- Containerd 与 CRI-O 均遵循"一主一 shim"架构,守护进程资源占用相对较低;
- 在大规模节点(上百个 Pod)场景下,CRIO 的资源占用更稳定,内存泄漏风险更低;
6.3 稳定性与高可用性
| 特性 | Docker | Containerd | CRI-O |
|---|---|---|---|
| 守护进程崩溃影响 | 若 dockerd 崩溃,则容器进程退出 |
如果 containerd 崩溃,则容器进程保持运行,但无法创建新容器 |
如果 crio 崩溃,则容器进程保持运行,Kubelet 报错重启 CRI-O |
| 热升级 / 灰度升级 | 支持 -------------------------------- | 支持 | 支持 |
| 社区稳定性 | Docker 官方稳定性高,但 dockershim 弃用 |
CNCF 支持,社区活跃度高 | Kubernetes 官方支持,社区关注度高 |
| 多节点一致性 | 需手动对齐版本与配置 | 可通过 Containerd 配置模板 | 可通过 Ansible/Helm 统一管理 |
经验分享:
- 在生产环境中,我们曾遇到一例
dockerd高并发 API 调用导致 OOM 重启,所有容器被迫重启;而 Containerd/CRI-O 模式下,仅影响新容器创建,不影响已有容器;- 对于关键业务节点,建议部署备份守护进程(如 systemd 重启策略)并采集核心转储,以保证快速恢复;
6.4 实战 benchmark 案例
以下示例基于 1000 个 Pod 并发创建与销毁场景,测量平均每秒创建与销毁速率(单位:pod/s):
| 运行时 | 并发创建速率 (pod/s) | 并发销毁速率 (pod/s) |
|---|---|---|
| Docker + kubelet | ~50 | ~40 |
| Containerd + kubelet | ~80 | ~70 |
| CRI-O + kubelet | ~90 | ~85 |
测试脚本示例:
bash
# 伪代码示例,用于并发创建 1000 个 Pod
for i in {1..1000}; do
kubectl run test-pod-$i --image=busybox --restart=Never -- sleep 300 &
done
# 等待全部 Pod 进入 Running
kubectl wait --for=condition=Ready pod -l run=test-pod --all --timeout=300s
# 统计创建耗时,计算 pod/s
# 并发删除
for i in {1..1000}; do
kubectl delete pod test-pod-$i &
done
# 统计销毁耗时,计算 pod/s结论:
- CRI-O 在高并发场景下具有最佳吞吐量,Containerd 紧随其后;
- Docker 由于
dockerd单线程调度与额外协调逻辑,性能明显落后;
7.企业实战经验总结
-
底层运行时选择:
- 如果您已深度耦合 Docker 生态,且集群规模较小(<100 节点),可暂时继续使用 Docker。但务必规划拆分
dockershim的迁移路径; - 对于中大型集群(≥100 节点),推荐切换至 Containerd 或 CRI-O,以获得更低的延迟、更小的资源占用与更稳定的运行。
- 如果您已深度耦合 Docker 生态,且集群规模较小(<100 节点),可暂时继续使用 Docker。但务必规划拆分
-
Containerd vs CRI-O:
- Containerd 适合需要兼容多种上层场景(如 Docker、Podman、Kubelet)的环境,可作为统一的底层运行时;
- CRI-O 针对 Kubernetes 做了深度优化,支持更多安全特性(SELinux 强制模式、seccomp、AppArmor),并且与 Kubernetes 版本同步更快;
-
安全与隔离:
- 在高安全合规场景,CRIO 与 SELinux/SECCOMP 结合更简单;对于容器逃逸、侧信道攻击等威胁,CRI-O 支持更细粒度的安全策略;
- Containerd 社区正在逐步增强安全支持,可结合外部项目(Falco、Cilium eBPF)实现更完善的运行时安全。
-
运维与监控:
- Docker 需要单独监控
dockerd,并做好dockershim废弃后的兼容性; - Containerd 与 CRI-O 均需关注
*_shim进程资源占用,并通过 Prometheus + Grafana 采集容器运行时指标; - 定期进行自动化巡检(如使用
kube-bench、kube-hunter),确保运行时配置与安全策略一致。
- Docker 需要单独监控
-
升级与高可用:
- 推荐使用 rolling update 方式平滑升级 Containerd/CRI-O,避免单点节点同时重启导致业务中断;
- 在关键节点部署双机热备(如 systemd 心跳监控、Prometheus Alert ),及时感知运行时故障;
8. 参考链接
-
Docker 官方文档
-
Containerd 官方文档
-
CRI-O 官方文档
-
Kubernetes CRI(Container Runtime Interface)
-
OCI(Open Container Initiative)规范
-
Kubernetes 安装配置指南
-
SELinux 与容器安全最佳实践
-
CNI 插件官方文档(Calico、Flannel、Cilium 等)
作者 :资深技术专家 / 架构师 公众号 :ContainerWorld 云原生社区 本文首发于 CSDN,欢迎分享、评论、交流。