无网环境下的containerd部署实战:从静态二进制到服务就绪
1. 为什么需要离线部署containerd?
在工业控制、军工系统、金融核心业务等特殊场景中,服务器往往运行在物理隔离的网络环境中。我曾经参与过一个智能制造项目,生产线的控制服务器连内网都不允许接入,更别说访问互联网了。这种环境下要部署容器化应用,传统的在线安装方式完全行不通。
离线部署最大的技术难点在于依赖链断裂。常规的containerd安装需要在线下载依赖包,而静态二进制文件(containerd-static)就像个自给自足的"集装箱"——把所有依赖都打包进单个可执行文件。实测在CentOS 7这种老系统上,用动态链接的containerd会因为glibc版本过低直接报错,而静态版本完全无视系统库版本。
2. 准备工作:构建离线资源包
2.1 获取静态二进制文件
首先在有网络的机器上访问GitHub releases页面:
wget https://github.com/containerd/containerd/releases/download/v1.6.8/containerd-1.6.8-linux-amd64.tar.gz wget https://github.com/opencontainers/runc/releases/download/v1.1.4/runc.amd64 wget https://github.com/containernetworking/plugins/releases/download/v1.1.1/cni-plugins-linux-amd64-v1.1.1.tgz这里有个坑要注意:containerd的静态版本命名带-static后缀,比如containerd-static-1.6.8-linux-amd64.tar.gz。我遇到过同事误下载普通版本导致glibc报错的情况,建议用这个命令校验:
file containerd-1.6.8-linux-amd64/bin/containerd | grep "statically linked"2.2 制作离线安装介质
将下载的文件打包成离线安装包:
mkdir -p offline-containerd/{bin,cni,config} cp containerd-1.6.8-linux-amd64/bin/* offline-containerd/bin/ cp runc.amd64 offline-containerd/bin/runc tar xzf cni-plugins-linux-amd64-v1.1.1.tgz -C offline-containerd/cni/建议用ansible-playbook或者简单的shell脚本自动化这个过程。我在实际项目中会额外包含一个version.txt文件,记录各组件的版本信息,避免后期维护时出现版本混乱。
3. 离线环境部署实战
3.1 基础环境配置
将离线包拷贝到目标机器后,先设置PATH变量:
export PATH=/usr/local/bin:$PATH mkdir -p /opt/cni/bin解压containerd静态二进制包:
tar Cxzvf /usr/local containerd-static-1.6.8-linux-amd64.tar.gz这里有个细节:静态二进制文件体积较大(约50MB),但部署时不需要安装任何依赖库。对比动态链接版本,在Ubuntu 18.04上需要额外安装12个依赖包。
3.2 系统服务配置
创建systemd单元文件时要注意Delegate配置:
cat > /etc/systemd/system/containerd.service <<'EOF' [Unit] Description=containerd container runtime After=network.target [Service] ExecStartPre=-/sbin/modprobe overlay ExecStart=/usr/local/bin/containerd Delegate=yes KillMode=process Restart=always ... EOF关键参数说明:
Delegate=yes:允许containerd管理自己的cgroupKillMode=process:只终止主进程,避免误杀容器进程TasksMax=infinity:需要systemd v226+版本支持
3.3 组件安装与校验
安装runc时要特别注意权限:
install -m 755 runc.amd64 /usr/local/sbin/runc chmod 755 /usr/local/sbin/runcCNI插件需要放到指定目录:
tar xzf cni-plugins-linux-amd64-v1.1.1.tgz -C /opt/cni/bin/验证安装是否成功:
containerd --version runc --version ls /opt/cni/bin/4. 常见问题排查指南
4.1 GLIBC版本冲突
典型报错:
containerd: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.32' not found解决方案分三步:
- 确认下载的是
containerd-static版本 - 用
file命令检查二进制文件类型 - 使用
ldd命令查看动态链接情况(静态版本应显示"not a dynamic executable")
4.2 网络插件问题
当容器无法联网时,检查:
lsmod | grep br_netfilter sudo modprobe br_netfilter还要确保iptables规则正确:
iptables -L | grep CNI4.3 存储驱动配置
在/etc/containerd/config.toml中建议使用overlayfs:
[plugins."io.containerd.grpc.v1.cri".containerd] snapshotter = "overlayfs"对于老内核(3.x)可能需要换用aufs或者devicemapper。
5. 生产环境优化建议
5.1 资源隔离配置
在config.toml中限制资源使用:
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc] runtime_type = "io.containerd.runc.v2" [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options] SystemdCgroup = true5.2 日志管理
调整日志轮转策略:
mkdir -p /var/log/containerd cat > /etc/logrotate.d/containerd <<EOF /var/log/containerd/*.log { rotate 7 daily compress missingok copytruncate } EOF5.3 安全加固
建议的selinux配置:
semanage fcontext -a -t container_runtime_exec_t /usr/local/bin/containerd restorecon -v /usr/local/bin/containerd6. 版本升级策略
离线环境下的升级需要特别注意:
- 下载新版本静态二进制包
- 停止旧服务但不卸载
- 解压新版本到临时目录
- 对比config.toml的差异
- 灰度迁移容器实例
建议使用工具比较配置差异:
diff -u /etc/containerd/config.toml /tmp/new-containerd/config.toml7. 容器运行时生态解析
containerd、runc和CNI插件的关系可以用快递系统类比:
- containerd像快递公司总部,管理整体运作
- runc是送货的快递员,负责容器生命周期
- CNI插件是运输网络,处理容器间的联通
这种架构设计使得各组件可以独立升级。我在某次升级中就遇到过只更新runc不更新containerd的情况,系统仍然稳定运行。