ctr 和 docker 是两个定位、功能和面向用户完全不同的容器工具。简单来说,docker 是面向开发者的全能型容器平台 ,而 ctr 是面向运维和开发者的底层容器运行时调试工具。
下面的表格清晰地展示了它们之间的核心区别:
| 特性维度 | docker (Docker CLI) |
ctr (Containerd CLI) |
|---|---|---|
| 核心定位 | 完整的容器应用平台,用户友好。 | Containerd 运行时原生的底层调试和管理客户端。 |
| 架构地位 | 一个独立的容器引擎,底层默认使用 containerd。 | 容器运行时 containerd 的命令行接口。 |
| 主要用户 | 应用开发者,用于构建、运行和管理容器应用。 | 集群运维、底层调试人员,直接操作运行时。 |
| 功能范围 | 全面:镜像构建、网络、存储卷、容器生命周期管理等。 | 基础 :仅核心的镜像和容器生命周期操作,无网络、存储卷、构建功能。 |
| 与K8s关系 | 在K8s 1.24后,不直接支持,需通过额外适配器(cri-dockerd)。 | containerd 是 K8s 默认/推荐 的运行时。ctr 可直接操作其底层资源。 |
| 典型场景 | 本地开发、测试、使用 Dockerfile 构建镜像。 | 在 K8s 节点上,当 kubectl 或 crictl 无法解决问题时,进行底层调试。 |
详细解读
1. 架构与定位
-
docker是一个完整的商业产品,它封装了容器运行、镜像构建、网络、存储等一系列功能,为用户提供了一个"开箱即用"的体验。它的守护进程是dockerd。 -
ctr是容器运行时 containerd 自带的命令行工具。Containerd 本身是 Docker 引擎的底层核心组件,后来被捐赠给 CNCF 并独立发展,现在已成为 Kubernetes 默认的容器运行时。ctr的作用是直连 containerd 守护进程,进行底层、直接的操作。
2. 功能范围差异
这是两者最显著的区别。docker 提供了围绕容器应用的全套工具,而 ctr 只聚焦于运行时本身的核心功能。
-
缺失的高级功能 :
ctr不支持 容器日志查看(logs)、执行命令(exec)、资源统计(stats)等对开发者至关重要的功能。它也没有 网络管理和存储卷管理功能,更无法构建镜像(没有类似 Dockerfile 的概念)。 -
Kubernetes 集成 :在 K8s 环境中,直接使用
ctr操作由 K8s 创建的容器是危险 的,因为它可能会破坏 Kubelet 对集群状态的管理。K8s 官方推荐的节点调试工具是crictl。
3. 命令对比
由于功能定位不同,即使对同一操作,命令也常有差异。下表列出了常见任务的命令对比:
| 操作 | Docker 命令 | Containerd (ctr) 命令 |
关键说明 |
|---|---|---|---|
| 拉取镜像 | docker pull nginx |
ctr image pull docker.io/library/nginx:latest |
ctr 通常需要完整镜像地址。 |
| 列出镜像 | docker images |
ctr image ls |
|
| 列出容器 | docker ps |
ctr containers ls (容器) ctr tasks ls (运行中的进程) |
ctr 将容器定义与运行中的任务区分开。 |
| 运行容器 | docker run -d nginx |
ctr run -d docker.io/library/nginx:latest nginx |
|
| 查看容器信息 | docker inspect <id> |
ctr containers info <id> |
|
| 删除镜像 | docker rmi nginx |
ctr image rm nginx |
|
| 进入容器 | docker exec -it <id> sh |
不支持 | 这是 ctr 的一个主要功能缺口。 |
| 查看容器日志 | docker logs <id> |
不支持 | 需通过其他方式(如 crictl logs)查看。 |
命名空间注意 :Containerd 使用命名空间隔离资源。Kubernetes 创建的所有资源默认都在 k8s.io 命名空间下。因此,查看 K8s 管理的容器,需要使用 ctr -n k8s.io containers ls。
如何选择与建议
-
如果你是应用开发者 ,专注于在个人电脑或服务器上构建、运行和测试单个容器应用 ,请坚持使用
docker。它的体验是完整且顺畅的。 -
如果你是 Kubernetes 运维人员或系统调试者 ,遇到需要绕过 K8s 直接检查底层运行时的问题时,可以将
ctr作为"手术刀"使用。但请优先使用kubectl和crictl进行节点调试。 -
关于
nerdctl:如果你既需要ctr直接操作 containerd 的能力,又怀念docker命令的便捷性,可以了解一下nerdctl。它是一个兼容 Docker CLI 语法且直接面向 containerd 的工具,在两全其美。
总结来说,docker 是为便捷而生,ctr 是为掌控而存。理解它们的区别,能帮助你在容器化和云原生运维中更得心应手。