一、说明
本教程为展示如何迁移 Docker Engine 节点,使之使用 cri-dockerd 而不是 dockershim。 在以下场景中,可以遵从这里的步骤执行操作:
- 期望不再使用 dockershim,但仍然使用 Docker Engine 来在 Kubernetes 中运行容器;
- 希望升级到 Kubernetes v1.28 且现有集群依赖于 dockershim, 因此必须放弃 dockershim,而 cri-dockerd 是一种选项;
- 要进一步了解 dockershim 的移除,请阅读 FAQ 页面。
二、cri-dockerd
在 Kubernetes v1.24 及更早版本中,可以在 Kubernetes 中使用 Docker Engine, 依赖于一个称作 dockershim 的内置 Kubernetes 组件。 dockershim 组件在 Kubernetes v1.24 发行版本中已被移除;不过,一种来自第三方的替代品, cri-dockerd 是可供使用的。cri-dockerd 适配器允许通过容器运行时接口(Container Runtime Interface,CRI) 来使用 Docker Engine。
如果已经在使用 cri-dockerd,那么不会被 dockershim 的移除影响到。 在开始之前,检查节点是否在使用 dockershim。
如果想要迁移到 cri-dockerd 以便继续使用 Docker Engine 作为容器运行时, 需要在所有被影响的节点上执行以下操作:
- 安装 cri-dockerd;
- 隔离(Cordon)并腾空(Drain)该节点;
- 配置 kubelet 使用 cri-dockerd;
- 重新启动 kubelet;
- 验证节点处于健康状态。
首先在非关键节点上测试这一迁移过程。应该针对所有希望迁移到 cri-dockerd 的节点执行以下步骤。
三、准备
1、安装了 cri-dockerd 并且该服务已经在各节点上启动;
2、一个网络插件。
四、隔离并腾空节点
1、隔离节点,阻止新的 Pod 被调度到节点上:
kubectl cordon <NODE_NAME>
将 <NODE_NAME> 替换为节点名称。
2、腾空节点以安全地逐出所有运行中的 Pod:
kubectl drain <NODE_NAME> --ignore-daemonsets
五、配置kubelet使用cri-dockerd
下面的步骤适用于用 kubeadm 工具安装的集群。如果使用不同的工具, 需要使用针对该工具的配置指令来修改 kubelet。
- 在每个被影响的节点上,打开 /var/lib/kubelet/kubeadm-flags.env 文件;
- 将 –container-runtime-endpoint 标志,将其设置为 unix:///var/run/cri-dockerd.sock;
- 将 –container-runtime 标志修改为 remote(在 Kubernetes v1.27 及更高版本中不可用)。
kubeadm 工具将节点上的套接字存储为控制面上 Node 对象的注解。 要为每个被影响的节点更改此套接字:
1、编辑 Node 对象的 YAML 表示:
KUBECONFIG=/path/to/admin.conf kubectl edit no <NODE_NAME>
根据下面的说明执行替换:
- /path/to/admin.conf:指向 kubectl 配置文件 admin.conf 的路径;
- <NODE_NAME>:要修改的节点的名称。
2、将 kubeadm.alpha.kubernetes.io/cri-socket 标志从 /var/run/dockershim.sock 更改为 unix:///var/run/cri-dockerd.sock;
3、保存所作更改。保存时 Node 对象被更新。
六、重启kubelet
systemctl restart kubelet
七、验证节点处于健康状态
要检查节点是否在使用 cri-dockerd 端点, 按照找出所使用的运行时页面所给的指令操作。 kubelet 的 –container-runtime-endpoint 标志取值应该是 unix:///var/run/cri-dockerd.sock。
八、解除节点隔离
kubectl uncordon <NODE_NAME>
