CRI-O：面向 Kubernetes 的开源容器运行时

4 月 8 日，云原生计算基金会（CNCF）的技术监督委员会（Technical Oversight Committee，TOC）投票接受CRI-O 作为孵化级别的托管项目。CRI-O由 Red Hat 创建，是面向 Kubernetes 的开放容器计划（Open Container Initiative，OCI）的容器运行时，提供了Docker、rkt或Moby的替代方案。

CRI-O 是专门针对在 Kubernetes 中运行所设计的，它会交付一个最小化的运行时，该运行时实现了 Kubernetes容器运行时接口（Container Runtime Interface，CRI）的标准组件。早期版本的 Kubernetes 只支持 Docker 运行时的容器。当 Kubernetes 团队决定支持新的运行时（比如 rkt）的时候，他们决定开发并发布 CRI，以便于将 Kubernetes 与特定的容器运行时解耦。

CRI 是一个插件接口，由 protocol buffers 和 gRPC API 组成，它允许 Kubernetes 通过kubelet与任意满足 CRI 接口的容器运行时进行交互。CRI 主要的两个 RPC 是 Image Service 和 Runtime Service，它们分别规定了如何拉取镜像以及管理容器的生命周期。

CRI-O 能够让 Kubernetes 使用任意兼容 OCI 的运行时作为运行 pod 的容器运行时。因为只关注在 Kubernetes 中运行容器，所以项目的范围仅限于：

• 支持多种镜像格式，包括现有的 Docker 镜像格式；

• 支持多种方式下载镜像，包括信任和镜像验证；

• 容器镜像管理（管理镜像层、覆盖文件系统等）；

• 容器进程的生命周期管理；

• 满足 CRI 所需的监控和日志记录；

• CRI 所需的资源隔离。

CRI-O 运行时利用了开放容器计划（Open Container Initiative），该计划提供了容器配置、文件系统以及执行环境的规范，另外还有镜像配置、文件系统、索引和清单（manifest）的规范。为了管理容器镜像和存储，CRI-O 使用了开源Containers项目的containers/image和containers/storage，其中包括多个容器工具。这两个容器库用于从镜像注册表中拉取镜像，并将镜像内容存储在容器文件系统中。

CRI-O 网络是通过容器网络接口（Container Networking Interface）实现的，该接口是CNCF的另外一个项目，它提供了在 Linux 容器中配置网络接口的规范和库。容器会被一个内部工具cronmon所监控，它会收集容器日志并记录退出时的编码。

按照CRI-O项目的说法，CRI-O 的主要好处是 Kubernetes 生态系统的稳定性，并承诺通过 Kubernetes 的测试。 CRI-O 为每个 Kubernetes 发布版本均开发了分支，并与 Kubernetes 的版本发布和废弃周期保持一致。CRI-O 代码库包含针对 Kubernetes 的端到端测试，该测试在每次 pull request 时都会运行，并且必须通过才能接受 PR。

CRI-O 在 2016 年开始开发，在 Kubernetes 项目引入 CRI 之后，在 2017 年发布了 CRI-O 1.0。目前，CRI-O 支持将runc和Kata容器作为容器运行时，任何兼容 OCI 的运行时都是可接入的。CRI-O 支持 OCI 容器映像，可以从任何容器注册表中拉取。它的核心贡献者包括 RedHat、Intel、SUSE、Hyper 和 IBM。

关于如何开始使用 CRI-O 和如何进行贡献的更多信息可以参考Github上的CRI-O项目。

查看英文原文：CRI-O: An Open Source Container Runtime for Kubernetes