目录
kubernetes将dockershim从kubelet中移除了,紧接着docker就宣布和Mirantis合作维护独立于Kubernetes之外的shim代码cri-dockerd,作为Docker引擎API的一致CRI接口。这意味着我们可以像以前一样继续构建基于Docker引擎的Kubernetes环境,只需从内置的dockershim切换到外部的dockershim。
既然是从内置到了外置,那肯定要额外安装了。目前的最新版本是0.2.3,发布了多个主流Linux的二进制安装包,以centos7为例,可以直接下载cri-dockerd-0.2.3-3.el7.x86_64.rpm包进行安装:
- sudo rpm -ivh cri-dockerd-0.2.3-3.el7.x86_64.rpm
- sudo systemctl daemon-reload
- sudo systemctl enable cri-docker.service
- sudo systemctl enable --now cri-docker.socket
看一下该RPM包都包含什么文件(很简单,只有一个二进制可执行文件以及一个service Unix文件、一个socket Unix文件)比较类似于docker目前的启动方式。
- rpm -ql cri-dockerd |grep -v share
- /usr/bin/cri-dockerd
- /usr/lib/systemd/system/cri-docker.service
- /usr/lib/systemd/system/cri-docker.socket
可以通过cri-dockerd --help查看支持的参数进行配置。这里要说明的是--pod-infra-container-image的配置,因为kubelet中已经弃用了该参数,直接从cri侧获取sandbox image;docker作为cri则需要在这里进行配置,否则会报错( failed pulling image "k8s.gcr.io/pause:3.6": Error response from daemon: Get "https://k8s.gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers))。
--network-plugin=cni 如果不指定,pod会使用docker的网络。
ExecStart=/usr/bin/cri-dockerd --container-runtime-endpoint fd:// --network-plugin=cni --pod-infra-container-image=192.168.11.101/kubeadm/pause:3.7 另外,还有一个不同点,如果我们的私有镜像仓库pull镜像需要认证,除了使用kubernetes的secret外,可以事先通过docker login成功后,就不会报认证不通过了,但是现在不行了。
--container-runtime-endpoint=unix:///run/cri-dockerd.sock
- #KUBELET_KUBEADM_ARGS="--container-runtime=remote --container-runtime-endpoint=unix:///var/run/containerd/containerd.sock --pod-infra-container-image=192.168.11.101/kubeadm/pause:3.7"
- KUBELET_KUBEADM_ARGS="--container-runtime=remote --container-runtime-endpoint=unix:///run/cri-dockerd.sock"
当然kubelet、docker的安装,以及docker的daemon.json配置跟之前一样,就不赘述了。