作为底层的容器运行时，从 1.24 版本开始移除了 dockerShim 组件，不再支持 docker，从而默认使用 containerd 作为底层的容器运行时。 ### k8s 1.23 及之前版本： kubelet→dockerShim→dockerd→containerd→runC 默认调用的 cri-socket：unix://var/run/dockershim.sock 要求 docker<=20 docker<=20.10 ### k8s 1.24 及之后版本： 后来 cri-containerd 重构进 containerd 中（CRI Plugin），合为一个 containerd 进程 默认调用的 cri-socket：unix://var/run/containerd/containerd.sock 本小节讲解 k8s v1.23 及之前版本的安装；首先按照第 0 章的步骤完成准备工作。 章的步骤完成准备工作。 ## ① 安装并配置 docker-ce # yum install docker-ce docker-ce-cli containerd.io -y # k8s v1.23 支持的 docker 最新版本为 20.10.x # systemctl enable docker # systemctl start docker # docker info ![Image](/u

docker-common -y 安装 docker-ce # yum install docker-ce docker-ce-cli containerd.io -y [root@localhost ~]# yum install docker-ce docker-ce-cli containerd.io # systemctl enable docker # systemctl start docker # com/linux/centos/7/x86_64/stable/Packages/ 下载 4 个文件： |名称|^|修改日期|类型|大小| |---|---|---|---|---| |containerd.io-1.2.5-3.1.el7.x86\_64.rpm|2020/8/7 14:29|rpm Archive|22,674 KB|| |container-selinux-2.107-3 rpm -ivh docker-ce-cli-18.09.9-xxx.rpm # rpm -ivh container-selinux-2.107.xxx.rpm # rpm -ivh containerd.io-1.2.5.xxxx.rpm # rpm -ivh docker-ce-18.09.9-xxx.rpm # systemctl enable docker # systemctl

2 Fedora CoreOS 安装 3 Podman - 下一代 Linux 容器工具 4 Buildah - 容器镜像构建工具 5 Skopeo - 容器镜像管理工具 6 containerd - 核心容器运行时 7 安全容器运行时 8 WebAssembly 与容器 本章小结 第十八章 安全 ○ 容器安全的本质 ○ 本章内容 ○ 安全扫描清单 ○ 18.1 内核命名空间 pull rate limit 与 abuse rate limit 。完善安全权限警告，强化用户加入 docker 组等同于 root 的风险意识 增补 Docker Engine v29 containerd image store 与 BuildKit provenance attestations 默认行为说明 1.6.0 2026-02-20 全面统一使用 docker compose 本章将带领你进入 Docker 的世界。 版本提示：本书内容及示例基于Docker Engine v29.x及以上版本。值得注意的是，自Docker Engine v29起，官方在全新安装场景下默认启用了containerd image store作为镜像存储后端（取代了传统的经典存储引擎如 overlay2 graph driver）。这项底层革新极大增强了Docker对多架构镜像（Multi-platfor

2 Fedora CoreOS 安装 3 Podman - 下一代 Linux 容器工具 4 Buildah - 容器镜像构建工具 5 Skopeo - 容器镜像管理工具 6 containerd - 核心容器运行时 7 安全容器运行时 8 WebAssembly 与容器 本章小结 第十八章 安全 容器安全的本质 本章内容 安全扫描清单 1 内核命名空间 2 控制组 pull rate limit 与 abuse rate limit 完善安全权限警告，强化用户加入 docker 组等同于 root的风险意识 增补 Docker Engine v29 containerd image store 与 BuildKit provenance attestations默认行为说明 1.6.0 2026-02-20 o 全面统一使用 docker compose 本章将带领你进入 Docker 的世界。 版本提示：本书内容及示例基于Docker Engine v29.x及以上版本。值得注意的是，自Docker Engine v29起，官方在全新安装场景下默认启用containerd image store作为镜像存储后端（取代传统classic store路径下的graph driver体系）。这项底层革新极大增强了Docker对多架构镜像（Multi-platfor

2 Fedora CoreOS 安装 3 Podman - 下一代 Linux 容器工具 4 Buildah - 容器镜像构建工具 5 Skopeo - 容器镜像管理工具 6 containerd - 核心容器运行时 7 安全容器运行时 8 WebAssembly 与容器 本章小结 第十八章 安全 容器安全的本质 本章内容 安全扫描清单 1 内核命名空间 2 控制组 pull rate limit 与 abuse rate limit 完善安全权限警告，强化用户加入 docker 组等同于 root的风险意识 增补 Docker Engine v29 containerd image store 与 BuildKit provenance attestations默认行为说明 1.6.0 2026-02-20 全面统一使用 docker compose 本章将带领你进入 Docker 的世界。 版本提示：本书内容及示例基于Docker Engine v29.x及以上版本。值得注意的是，自Docker Engine v29起，官方在全新安装场景下默认启用containerd image store作为镜像存储后端（取代传统classic store路径下的graph driver体系）。这项底层革新极大增强了Docker对多架构镜像（Multi-platfor

Capabilities, Cgroup 3. Intrusion Detection - Monitor suspicious read/write to host files. For example, containerd-shim/busybox/docker-runc, /usr/bin/docker-runc /bin/bash /bad_init /proc/self/fd/ ### 4. Linux jpg) ## K8s Runtime kubelet dockershim docker containerd runc kata- runtime containerd- shim-kata-v2 kubelet cri- containerd containerd runsc+gVisor kubelet CRI-O io.kubernetes.cri-o cri-o.TrustedSandbox=true io.kubernetes.cri-o.TrustedSandbox=false Firecracker-containerd runnc+Nabla ## OCI Comparison |OCI Solution|OCI Compatible|Dedicated Docker Image|Implementa tation Language|Open

Defender antivirus 服务是否在运行，无论状态如何，都错误地检查其名称以 Windows Defender 开头的任何进程。这会导致在没有安装 Windows Defender 的实例中为 containerd 创建防火墙排除时会出现错误。在这个版本中，检查是否与 Windows Defender antivirus 服务关联的特定正在运行的进程。因此，WMCO 可以正确地将 Windows 实例配置为节点，无论是否安装了 可以启动并协调无效的或错误配置的端点对象。(OCPBUGS-4336) 在以前的版本中，containerd 容器运行时在每个 Windows 节点上报告了一个不正确的版本，因为存储库标签没有传播到构建系统。此配置会导致 containerd 将其 Go 构建版本报告为每个 Windows 节点的版本。在这个版本中，在构建期间将正确的版本注入二进制文件，以便 containerd 报告每个 Windows 节点的正确版本。(OCPBUGS-8055) 节点证书。 ###### 2.4.4.2. Containerd 是默认的容器运行时 因为 Kubernetes 1.24 中弃用了 Docker 运行时，所以 containerd 现在是 WMCO 支持的 Windows 节点的默认运行时。安装或升级到 WMCO 6.0.0 后，容器作为 Windows 服务安装。kubetet 现在使用 containerd 进行镜像拉取，而不是 Docker 运行时。用户不再需要启用

libnetwork [https://github.com/docker/libnetwork] • Container runtime events: containerd [https://github.com/containerd/containerd] - Kubernetes: NetworkPolicy. [https://kubernetes.io/docs/concepts/servi kubeadm ## External Guides • Kubernetes with Cilium and Containerd using Kubeadm [https://blog.scottlowe.org/2018/09/06/kubernetes-cilium-containerd-using-kubeadm/] # Installation using Kops As of kops CRI implementation to translate CRI into OCI. There are two supported ways called CRI-O and CRI-containerd. It is up to you to choose the one that you want, but you have to pick one. If you select CRI-O

的使用案例。主要的執行階段選項為Containerd、Kata Containers及CRI-O。 Containerd是高階容器執行階段，可管理完整的容器生命週期，提供簡易性、強健性及可攜性。Containerd可視為業界標準的容器執行階段，也是上游Kubernetes的預設選項。Canonical Kubernetes及Rancher均支援Containerd。 Kata Containe

libnetwork [https://github.com/docker/libnetwork] Container runtime events: containerd [https://github.com/containerd/containerd] Kubernetes: NetworkPolicy [https://kubernetes.io/docs/concepts/services 1.15 K8s 1.14 K8s 1.13 K8s 1.12 K8s 1.11 K8s 1.10 ## For CRI-O as container runtime: For containerd as container runtime: K8s 1.15 K8s 1.14 K8s 1.13 K8s 1.12 K8s 1.11 K8s 1.10 kubectl apply com/cilium/cilium/v1.5/exa kubectl apply -f https://raw.github.com/cilium/cilium/v1.5/exa ## For containerd as container runtime: K8s 1.15 K8s 1.14 K8s 1.13 K8s 1.12 K8s 1.11 K8s 1.10 kubectl apply -f