containerd-rootless安装实战:从零到Hello World的完整指南
1. 为什么需要containerd-rootless?
最近在帮朋友部署一个测试环境时,遇到了一个经典问题:如何在普通用户权限下运行容器?传统方案要么需要sudo权限,要么就得把用户加入docker组,这两种方式都存在安全隐患。这时候containerd-rootless模式就成了我的救命稻草。
containerd作为行业标准的容器运行时,其rootless模式允许普通用户无需root权限就能创建和管理容器。这种设计带来了三大核心优势:
- 安全性提升:容器进程以普通用户身份运行,即使容器被攻破,攻击者也无法获取主机root权限
- 权限隔离:不同用户之间的容器环境完全隔离,避免相互干扰
- 合规性:满足企业安全规范中对最小权限原则的要求
实测下来,rootless模式的性能损耗仅在5%左右,对于大多数开发测试场景完全可以接受。下面我就以CentOS 7为例,带你完整走通从安装到运行Hello World的全流程。
2. 环境准备与依赖安装
2.1 基础环境检查
首先确认你的CentOS 7系统版本:
cat /etc/redhat-release建议使用7.7及以上版本,我测试用的是7.7.1908。内核版本也很重要:
uname -r需要3.10.0-1062或更高版本,否则可能会遇到内核模块不兼容的问题。
2.2 创建专用用户
为避免污染root环境,我们新建一个测试用户:
sudo useradd -m -s /bin/bash containerd-user sudo passwd containerd-user # 设置密码这里有个小技巧:使用-m参数会自动创建用户家目录,省去后续权限配置的麻烦。
2.3 安装必要依赖
切换到新用户前,先用root安装基础依赖:
sudo yum install -y iproute fuse-overlayfs slirp4netns这几个包的作用分别是:
- iproute:容器网络配置工具
- fuse-overlayfs:用户空间overlay文件系统
- slirp4netns:用户模式网络栈
特别提醒:如果遇到fuse-overlayfs包找不到的情况,可能需要先启用EPEL仓库:
sudo yum install -y epel-release3. containerd-rootless安装实战
3.1 获取安装包
切换到普通用户:
su - containerd-user下载最新版nerdctl-full套件(包含containerd):
wget https://github.com/containerd/nerdctl/releases/download/v1.6.2/nerdctl-full-1.6.2-linux-amd64.tar.gz tar -xzf nerdctl-full-1.6.2-linux-amd64.tar.gz解压后会得到包含bin和lib的目录结构,建议放在用户主目录下。
3.2 配置环境变量
临时生效的配置方式:
export PATH=$PATH:~/containerd/bin export CONTAINERD_ROOTLESS_ROOT=~/containerd建议将这两行加入~/.bashrc实现永久生效:
echo 'export PATH=$PATH:~/containerd/bin' >> ~/.bashrc echo 'export CONTAINERD_ROOTLESS_ROOT=~/containerd' >> ~/.bashrc source ~/.bashrc3.3 运行安装脚本
关键的一步来了:
containerd-rootless-setuptool.sh install这个脚本会自动:
- 生成containerd配置文件
- 创建systemd用户服务单元
- 设置cgroup v2委托
常见报错处理:
- 如果提示
systemctl --user不可用,需要先执行:sudo loginctl enable-linger $(whoami) - 遇到cgroup相关错误时,可以尝试:
sudo grubby --update-kernel=ALL --args="systemd.unified_cgroup_hierarchy=1" sudo reboot
4. 网络配置与权限调优
4.1 CNI网络插件配置
默认情况下containerd会查找/opt/cni/bin下的插件,但我们没有写入权限。解决方案是自定义CNI路径:
mkdir -p ~/containerd/cni/bin wget https://github.com/containernetworking/plugins/releases/download/v1.1.1/cni-plugins-linux-amd64-v1.1.1.tgz tar xvf cni-plugins-linux-amd64-v1.1.1.tgz -C ~/containerd/cni/bin然后设置环境变量:
export CNI_PATH=~/containerd/cni/bin4.2 解决挂载权限问题
运行容器时可能会遇到:
FATA[0000] failed to mount /run/user/1000/containerd-mount2759511587: operation not permitted这是因为默认的overlayfs需要root权限。改用fuse-overlayfs:
nerdctl run --snapshotter=fuse-overlayfs hello-world如果想永久生效,可以修改~/.config/containerd/config.toml:
[plugins."io.containerd.snapshotter.v1"] snapshotter = "fuse-overlayfs"5. 验证与Hello World
5.1 启动containerd服务
先确保服务正常运行:
systemctl --user start containerd systemctl --user enable containerd检查状态:
systemctl --user status containerd正常应该看到"active (running)"状态。
5.2 运行测试容器
终于到了见证奇迹的时刻:
nerdctl run --rm hello-world如果看到经典的Hello World输出,恭喜你!如果失败,可以尝试以下调试命令:
nerdctl info # 查看运行时信息 nerdctl images ls # 检查镜像列表 journalctl --user -u containerd -f # 查看实时日志5.3 日常使用技巧
- 镜像加速配置:
nerdctl pull registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.6 - 查看容器资源占用:
nerdctl stats - 进入运行中容器:
nerdctl exec -it [容器ID] sh
整个安装过程最耗时的是解决各种权限问题,特别是当企业环境有严格的权限管控时。我在某次客户现场部署时,花了3小时才搞定所有目录权限和SELinux配置。建议提前准备好以下信息:
- 用户家目录的剩余空间(至少10GB)
- 防火墙规则(需要放行容器通信端口)
- 代理服务器配置(如有)