云原生 | Kubernetes - 将 Docker Engine 节点从 dockershim 迁移到 cri-dockerd
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
目录
为什么会从 Kubernetes 中移除 dockershim
为什么会从 Kubernetes 中移除 dockershim
Kubernetes 的早期版本仅适用于特定的容器运行时Docker Engine。 后来Kubernetes 增加了对使用其他容器运行时的支持。创建CRI 标准是为了实现编排器如 Kubernetes和许多不同的容器运行时之间交互操作。 Docker Engine 没有实现CRI接口因此 Kubernetes 项目创建了特殊代码来帮助过渡 并使 dockershim 代码成为 Kubernetes 的一部分。
dockershim 代码一直是一个临时解决方案因此得名shim。维护 dockershim 已经成为 Kubernetes 维护者的沉重负担。
此外在较新的 CRI 运行时中实现了与 dockershim 不兼容的功能例如 cgroups v2 和用户命名空间。 从 Kubernetes 中移除 dockershim 允许在这些领域进行进一步的开发。
cri-dockerd 是什么
在 Kubernetes v1.24 及更早版本中你可以在 Kubernetes 中使用 Docker Engine 依赖于一个称作 dockershim 的内置 Kubernetes 组件。 dockershim 组件在 Kubernetes v1.24 发行版本中已被移除不过一种来自第三方的替代品 cri-dockerd 是可供使用的。 cri-dockerd 适配器允许你通过 容器运行时接口Container Runtime InterfaceCRI 来使用 Docker Engine。
说明
如果你已经在使用
cri-dockerd那么你不会被 dockershim 的移除影响到。
如果你想要迁移到 cri-dockerd 以便继续使用 Docker Engine 作为你的容器运行时 你需要在所有被影响的节点上执行以下操作
- 安装
cri-dockerd- 隔离Cordon并腾空Drain该节点
- 配置 kubelet 使用
cri-dockerd- 重新启动 kubelet
- 验证节点处于健康状态。
准备开始
- 安装了 cri-dockerd 并且该服务已经在各节点上启动
- 一个网络插件。
隔离并腾空节点
-
隔离节点阻止新的 Pod 被调度到节点上
kubectl cordon <NODE_NAME>将
<NODE_NAME>替换为节点名称。 -
腾空节点以安全地逐出所有运行中的 Pod
kubectl drain <NODE_NAME> --ignore-daemonsets
配置 kubelet 使用 cri-dockerd
下面的步骤适用于用 kubeadm 工具安装的集群。如果你使用不同的工具 你需要使用针对该工具的配置指令来修改 kubelet。
- 在每个被影响的节点上打开
/var/lib/kubelet/kubeadm-flags.env文件- 将
--container-runtime-endpoint标志将其设置为unix:///var/run/cri-dockerd.sock。
kubeadm 工具将节点上的套接字存储为控制面上 Node 对象的注解。 要为每个被影响的节点更改此套接字
编辑
Node对象的 YAML 表示KUBECONFIG=/path/to/admin.conf kubectl edit no <NODE_NAME>根据下面的说明执行替换
/path/to/admin.conf指向 kubectl 配置文件admin.conf的路径<NODE_NAME>你要修改的节点的名称。
将
kubeadm.alpha.kubernetes.io/cri-socket标志从/var/run/dockershim.sock更改为unix:///var/run/cri-dockerd.sock保存所作更改。保存时
Node对象被更新。
重启 kubelet
systemctl restart kubelet
验证节点处于健康状态
要检查节点是否在使用 cri-dockerd 端点 kubelet 的 --container-runtime-endpoint 标志取值应该是 unix:///var/run/cri-dockerd.sock。
解除节点隔离
kubectl uncordon <NODE_NAME>