内网K8s集群基石:保姆级教程搞定containerd、runc、CNI三件套离线安装
内网K8s集群基石:containerd、runc与CNI三件套离线部署实战指南
当企业开始构建私有化Kubernetes集群时,最基础也最关键的环节就是容器运行时的选择与部署。在完全隔离的内网环境中,containerd作为行业标准的容器运行时,与runc、CNI插件共同构成了K8s集群的底层支柱。本文将带您深入理解这三个组件的协作关系,并手把手完成从零开始的离线部署全流程。
1. 容器运行时三剑客:架构解析与离线准备
在开始安装之前,我们需要先理清containerd、runc和CNI插件各自的作用及相互关系:
- containerd:作为行业标准的容器运行时,负责镜像管理、容器生命周期管理等核心功能。它通过CRI(Container Runtime Interface)与Kubelet通信,是K8s集群的实际"容器引擎"。
- runc:OCI(Open Container Initiative)标准的参考实现,负责底层容器进程的创建和管理。containerd会调用runc来实际启动容器。
- CNI插件:实现容器网络功能,包括IP地址分配、网络接口配置等。Kubelet通过CNI规范与网络插件交互。
这三者的协作流程可以简化为:Kubelet → containerd → runc → CNI。在内网环境中部署时,我们需要特别注意:
- 版本兼容性:三者版本需相互匹配,建议参考K8s官方发布的兼容性矩阵。
- 静态编译版本:优先选择静态链接的二进制文件,避免依赖系统库带来的兼容性问题。
- 目录结构规范:保持默认安装路径,确保组件间能正确相互调用。
提示:生产环境建议使用containerd 1.6+、runc 1.1+和CNI 1.0+版本组合,这些版本经过K8s 1.24+的充分验证。
2. containerd离线部署:从下载到服务配置
2.1 获取离线安装包
在可联网的机器上,从GitHub下载静态编译版本的containerd:
wget https://github.com/containerd/containerd/releases/download/v1.6.8/containerd-1.6.8-linux-amd64.tar.gz关键选择依据:
| 版本类型 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| containerd-*.tar.gz | 体积小 | 依赖系统库 | 开发环境 |
| containerd-static-*.tar.gz | 无依赖 | 体积较大 | 生产环境 |
2.2 安装与系统服务配置
将下载的包传输到内网机器后,执行以下步骤:
# 解压到系统目录 tar Cxzvf /usr/local containerd-1.6.8-linux-amd64.tar.gz # 生成默认配置文件 mkdir -p /etc/containerd containerd config default > /etc/containerd/config.toml # 创建systemd服务单元 cat > /etc/systemd/system/containerd.service <<'EOF' [Unit] Description=containerd container runtime Documentation=https://containerd.io After=network.target [Service] ExecStartPre=-/sbin/modprobe overlay ExecStart=/usr/local/bin/containerd ... EOF关键配置参数解析:
- cgroup驱动:确保与Kubelet一致(通常在config.toml中设置
SystemdCgroup = true) - 镜像仓库:配置内网私有镜像仓库地址
- 存储路径:默认/var/lib/containerd,确保有足够磁盘空间
启动服务并验证:
systemctl daemon-reload systemctl enable --now containerd ctr version3. runc安装与兼容性调优
3.1 获取与安装
下载静态编译的runc二进制文件:
wget https://github.com/opencontainers/runc/releases/download/v1.1.4/runc.amd64安装步骤:
install -m 755 runc.amd64 /usr/local/sbin/runc runc --version3.2 安全加固配置
在生产环境中,建议对runc进行安全加固:
- 启用rootless模式(如需):
echo 1 > /proc/sys/kernel/unprivileged_userns_clone - 配置seccomp:使用containerd默认的seccomp配置文件
- 限制能力集:在containerd的config.toml中配置默认能力集
常见问题排查:
- 版本不匹配:containerd日志中出现"unsupported runtime version"错误
- 权限问题:确保/usr/local/sbin在PATH环境变量中
4. CNI网络插件部署与网络方案选择
4.1 基础插件安装
下载并安装CNI插件:
wget https://github.com/containernetworking/plugins/releases/download/v1.1.1/cni-plugins-linux-amd64-v1.1.1.tgz mkdir -p /opt/cni/bin tar Cxzvf /opt/cni/bin cni-plugins-linux-amd64-v1.1.1.tgz关键插件说明:
- bridge:创建网桥和veth对
- host-local:IP地址分配管理
- loopback:lo网卡配置
- portmap:端口映射支持
4.2 网络方案配置示例
以下是bridge网络的配置示例,保存为/etc/cni/net.d/10-mynet.conf:
{ "cniVersion": "0.4.0", "name": "mynet", "type": "bridge", "bridge": "cni0", "isGateway": true, "ipMasq": true, "ipam": { "type": "host-local", "subnet": "10.22.0.0/16", "routes": [ { "dst": "0.0.0.0/0" } ] } }主流CNI方案对比:
| 方案 | 复杂度 | 性能 | 适用场景 |
|---|---|---|---|
| bridge | 低 | 中 | 开发测试 |
| Calico | 高 | 高 | 生产环境 |
| Flannel | 中 | 中 | 简单生产 |
5. 集成验证与生产调优
5.1 端到端功能测试
验证三组件协同工作:
# 拉取测试镜像 ctr image pull docker.io/library/nginx:alpine # 创建容器 ctr run -d --net-host docker.io/library/nginx:alpine nginx-test # 验证网络连通性 ping -c 3 <容器IP>5.2 生产环境关键配置
- 日志轮转:配置containerd日志大小和保留策略
[plugins."io.containerd.grpc.v1.cri".containerd] disable_hugetlb_controller = false snapshotter = "overlayfs" - 资源限制:通过systemd限制containerd资源使用
[Service] MemoryLimit=4G CPUQuota=200% - 监控集成:暴露containerd metrics端口并配置采集
5.3 性能调优技巧
- 镜像层并发下载:在config.toml中设置
max_concurrent_downloads - IO隔离:为containerd配置独立的IO调度策略
- 网络优化:调整CNI的MTU值匹配底层网络
在部署K8s集群前,建议用压力测试工具验证运行时稳定性。一个常见的测试方法是批量创建/删除容器:
for i in {1..100}; do ctr run -d --rm docker.io/library/alpine:latest test-$i sleep 30 done观察系统资源使用情况和组件日志,确保没有内存泄漏或资源竞争问题。