- Authors
- Name
- Youngju Kim
- @fjvbn20031
containerd CRI 구현: Kubernetes 런타임 통합
containerd는 Kubernetes CRI(Container Runtime Interface)를 내장 플러그인으로 구현합니다. 이 글에서는 CRI gRPC 서비스의 구현 상세, Pod Sandbox 관리, 컨테이너 스펙 변환, 스트리밍 API, RuntimeClass, NRI를 분석합니다.
1. CRI gRPC 서비스
1.1 서비스 구조
CRI는 두 개의 gRPC 서비스로 구성됩니다:
CRI gRPC 서비스:
RuntimeService:
+-- PodSandbox 관리
| RunPodSandbox
| StopPodSandbox
| RemovePodSandbox
| PodSandboxStatus
| ListPodSandbox
|
+-- Container 관리
| CreateContainer
| StartContainer
| StopContainer
| RemoveContainer
| ListContainers
| ContainerStatus
| UpdateContainerResources
|
+-- 스트리밍
| ExecSync
| Exec
| Attach
| PortForward
|
+-- 런타임 정보
Status
Version
ImageService:
+-- PullImage
+-- ListImages
+-- ImageStatus
+-- RemoveImage
+-- ImageFsInfo
1.2 소켓 구성
CRI 소켓:
containerd는 동일한 gRPC 소켓에서 CRI를 제공:
/run/containerd/containerd.sock
kubelet 설정:
--container-runtime-endpoint=unix:///run/containerd/containerd.sock
CRI 플러그인이 containerd 서버에 CRI 서비스를 등록:
플러그인 ID: io.containerd.grpc.v1.cri
2. Pod Sandbox
2.1 Pod Sandbox 개념
Pod Sandbox는 Pod의 격리 환경을 나타냅니다:
Pod Sandbox 구성:
Pod Sandbox = Pause 컨테이너 + 공유 네임스페이스
공유 리소스:
- 네트워크 네임스페이스 (같은 IP, 포트 공간)
- IPC 네임스페이스 (프로세스 간 통신)
- UTS 네임스페이스 (호스트명)
- PID 네임스페이스 (선택적)
격리 리소스:
- 마운트 네임스페이스 (컨테이너별)
- cgroup (컨테이너별 리소스 제한)
2.2 RunPodSandbox 흐름
RunPodSandbox 처리:
1. Sandbox 메타데이터 생성
- ID 생성
- 로그 디렉토리 생성
|
v
2. Pause 이미지 풀
- sandbox_image 설정에서 이미지 결정
- 기본값: registry.k8s.io/pause:3.9
|
v
3. Pause 컨테이너 스냅샷 준비
|
v
4. OCI 스펙 생성
- Pause 컨테이너용 최소 스펙
- 호스트명, DNS 설정 포함
|
v
5. 네트워크 네임스페이스 생성
- /var/run/netns/ 에 네임스페이스 파일 생성
|
v
6. CNI 플러그인 호출
- 네트워크 인터페이스 생성
- IP 할당
|
v
7. Pause 컨테이너 Task 생성 및 시작
|
v
8. Sandbox 상태를 SANDBOX_READY로 설정
2.3 Pause 컨테이너
Pause 컨테이너의 역할:
1. 네임스페이스 보유자:
- 네트워크 네임스페이스의 첫 번째 프로세스
- App 컨테이너가 종료되어도 네임스페이스 유지
- 네임스페이스의 생명주기를 Pod에 바인딩
2. PID 1 역할:
- Pod PID 네임스페이스의 init 프로세스
- 좀비 프로세스 수거 (reap)
- 최소 리소스 사용 (약 1MB)
3. 동작:
- pause() 시스템 콜로 무한 대기
- SIGTERM 수신 시 종료
3. 컨테이너 스펙 변환
3.1 CRI 요청에서 OCI 스펙으로
스펙 변환 과정:
CRI ContainerConfig:
- Image
- Command, Args
- Envs
- Mounts
- Devices
- SecurityContext
- Resources
|
v
containerd CRI 플러그인이 변환
|
v
OCI Runtime Spec:
- root (이미지 스냅샷 경로)
- process (커맨드, env, capabilities)
- mounts (볼륨, 특수 파일시스템)
- linux.resources (cgroup 설정)
- linux.namespaces (Sandbox와 공유)
- hooks (OCI 훅)
3.2 리소스 변환
Kubernetes 리소스 -> OCI 리소스 변환:
CPU:
requests.cpu: 250m
-> linux.resources.cpu.shares = 256
(1000m = 1024 shares 기준)
limits.cpu: 500m
-> linux.resources.cpu.quota = 50000
linux.resources.cpu.period = 100000
(500m/1000m * 100000us)
Memory:
limits.memory: 512Mi
-> linux.resources.memory.limit = 536870912
(바이트 단위)
requests.memory:
-> 스케줄링에만 사용, OCI 스펙에 반영하지 않음
Hugepages:
limits.hugepages-2Mi: 100Mi
-> linux.resources.hugepageLimits:
pageSize: "2MB"
limit: 104857600
3.3 보안 컨텍스트 변환
SecurityContext -> OCI 스펙 변환:
runAsUser: 1000
-> process.user.uid = 1000
runAsGroup: 1000
-> process.user.gid = 1000
readOnlyRootFilesystem: true
-> root.readonly = true
privileged: true
-> 모든 capabilities 부여
-> 모든 디바이스 접근 허용
-> AppArmor/SELinux/Seccomp 비활성화
capabilities:
add: ["NET_ADMIN"]
drop: ["ALL"]
-> process.capabilities 설정
seccompProfile:
type: RuntimeDefault
-> linux.seccomp 프로파일 적용
4. 스트리밍 API
4.1 ExecSync
ExecSync 동작:
동기적으로 컨테이너에서 명령 실행:
1. kubelet이 ExecSync(containerID, cmd, timeout) 호출
|
v
2. containerd가 shim에 Exec 요청
|
v
3. shim이 runc exec 실행
- 컨테이너 네임스페이스에 새 프로세스 생성
|
v
4. stdout/stderr 캡처
|
v
5. 프로세스 종료 대기
|
v
6. exit code + stdout + stderr 반환
사용 사례: liveness/readiness probe, kubectl exec (동기)
4.2 Exec (비동기 스트리밍)
Exec 스트리밍 동작:
1. kubelet이 Exec(containerID, cmd, stdin, stdout, stderr) 호출
|
v
2. containerd가 스트리밍 URL 반환
- 스트리밍 서버 주소: https://node:10250/exec/...
|
v
3. kubelet이 클라이언트에 URL 전달
|
v
4. 클라이언트가 WebSocket/SPDY로 스트리밍 서버 연결
|
v
5. 스트리밍 서버가 containerd에 실제 Exec 수행
|
v
6. stdin/stdout/stderr 양방향 스트리밍
스트리밍 프로토콜:
- SPDY (레거시)
- WebSocket (최신)
4.3 Attach
Attach 동작:
실행 중인 컨테이너의 메인 프로세스에 연결:
1. 스트리밍 URL 생성 (Exec와 유사)
|
v
2. 컨테이너의 stdin/stdout/stderr에 연결
- 새 프로세스를 생성하지 않음
- 기존 프로세스의 I/O에 직접 연결
|
v
3. 양방향 스트리밍
사용 사례: kubectl attach
4.4 PortForward
PortForward 동작:
Pod의 포트에 로컬 트래픽 전달:
1. 스트리밍 URL 생성
|
v
2. Pod의 네트워크 네임스페이스에서 socat/nsenter 실행
- 지정 포트에 TCP 연결
|
v
3. 로컬 포트와 Pod 포트 간 양방향 데이터 전달
구현:
containerd는 Pod의 네트워크 네임스페이스에 진입하여
대상 포트에 TCP 연결을 생성합니다.
사용 사례: kubectl port-forward
5. RuntimeClass
5.1 RuntimeClass 매핑
RuntimeClass 처리:
1. Kubernetes RuntimeClass 리소스:
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
name: kata
handler: kata
2. kubelet이 CRI RunPodSandbox 호출 시
runtime_handler = "kata" 전달
3. containerd가 handler를 런타임 설정에 매핑:
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.kata]
runtime_type = "io.containerd.kata.v2"
4. 해당 shim 바이너리로 Task 생성:
containerd-shim-kata-v2
5.2 기본 런타임
기본 런타임 설정:
[plugins."io.containerd.grpc.v1.cri".containerd]
default_runtime_name = "runc"
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
runtime_type = "io.containerd.runc.v2"
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
SystemdCgroup = true
Pod에 runtimeClassName이 없으면 기본 런타임(runc) 사용
5.3 RuntimeClass별 오버헤드
RuntimeClass 리소스 오버헤드:
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
name: kata
handler: kata
overhead:
podFixed:
memory: "160Mi"
cpu: "250m"
오버헤드 처리:
- kubelet이 Pod 리소스에 오버헤드를 추가
- 스케줄러가 오버헤드를 포함하여 노드 선택
- VM 기반 런타임의 고정 비용 반영
6. NRI (Node Resource Interface)
6.1 NRI 개요
NRI는 containerd의 플러그인 확장 메커니즘으로, 컨테이너 생명주기 이벤트에 훅을 등록할 수 있습니다:
NRI 아키텍처:
kubelet -> containerd
|
+-- NRI Plugin 1 (리소스 할당)
+-- NRI Plugin 2 (토폴로지 인식)
+-- NRI Plugin 3 (모니터링)
NRI 플러그인은 컨테이너 생명주기 이벤트를 수신하고
OCI 스펙을 수정할 수 있습니다.
6.2 NRI 훅 포인트
NRI 훅 포인트:
1. RunPodSandbox:
- Pod 생성 시 호출
- Pod 레벨 리소스 할당
2. CreateContainer:
- 컨테이너 생성 시 호출
- OCI 스펙 수정 가능
- CPU 핀닝, 메모리 NUMA 할당 등
3. StartContainer:
- 컨테이너 시작 시 호출
4. UpdateContainer:
- 리소스 업데이트 시 호출
5. StopContainer:
- 컨테이너 중지 시 호출
- 리소스 해제
6. RemoveContainer:
- 컨테이너 삭제 시 호출
6.3 NRI 사용 사례
NRI 활용 사례:
1. CPU/메모리 토폴로지 인식 할당:
- NUMA 노드 인식 CPU 핀닝
- 메모리를 특정 NUMA 노드에 할당
- 토폴로지 매니저와 연동
2. 디바이스 리소스 관리:
- GPU 할당 최적화
- RDMA 리소스 관리
- 디바이스 플러그인 보완
3. 보안 정책 적용:
- 동적 Seccomp 프로파일
- 런타임 보안 규칙 주입
4. 모니터링/감사:
- 컨테이너 시작/종료 이벤트 로깅
- 리소스 사용 추적
7. 이미지 서비스
7.1 이미지 Pull
CRI PullImage 처리:
1. kubelet이 PullImage(imageSpec, authConfig) 호출
|
v
2. containerd가 이미지 참조 해석
- 태그 또는 다이제스트
- 레지스트리 인증 정보 적용
|
v
3. 이미지 다운로드
- Manifest, Config, Layers
- k8s.io 네임스페이스에 저장
|
v
4. 레이어 언패킹
- Snapshotter로 스냅샷 체인 생성
|
v
5. 이미지 참조(imageRef) 반환
7.2 이미지 캐싱
이미지 캐싱:
containerd의 이미지 캐싱:
- Content Store에 레이어가 이미 존재하면 다운로드 건너뜀
- Snapshotter에 스냅샷이 이미 존재하면 언패킹 건너뜀
- 다이제스트 기반 정확한 중복 제거
kubelet의 이미지 정책:
imagePullPolicy: Always
-> 항상 레지스트리 매니페스트 확인 (레이어는 캐시 활용)
imagePullPolicy: IfNotPresent
-> 로컬에 없을 때만 Pull
imagePullPolicy: Never
-> 로컬 이미지만 사용
8. 모니터링과 디버깅
8.1 CRI 메트릭
containerd CRI 관련 메트릭:
container_runtime_cri_operations_total: CRI 연산 수
container_runtime_cri_operations_errors_total: CRI 연산 오류 수
container_runtime_cri_operations_latency_seconds: CRI 연산 지연
containerd 내부 메트릭:
containerd_task_count: 실행 중인 Task 수
containerd_container_count: 컨테이너 수
containerd_image_pull_duration_seconds: 이미지 Pull 소요 시간
8.2 디버깅 도구
디버깅 도구:
1. crictl (CRI CLI):
crictl ps # 컨테이너 목록
crictl pods # Pod 목록
crictl images # 이미지 목록
crictl inspect CONTAINER_ID # 컨테이너 상세
crictl logs CONTAINER_ID # 컨테이너 로그
crictl exec -it CONTAINER_ID /bin/sh # exec
2. ctr (containerd CLI):
ctr -n k8s.io containers list
ctr -n k8s.io tasks list
ctr -n k8s.io images list
3. containerd 로그:
journalctl -u containerd -f
9. 정리
containerd의 CRI 구현은 Kubernetes와 컨테이너 런타임 사이의 핵심 인터페이스입니다. Pod Sandbox를 통한 Pod 수준의 격리, CRI 요청에서 OCI 스펙으로의 정확한 변환, WebSocket/SPDY 기반 스트리밍, RuntimeClass를 통한 다중 런타임 지원, NRI를 통한 유연한 확장이 주요 특징입니다. 이러한 계층화된 설계로 containerd는 Kubernetes의 안정적인 컨테이너 런타임으로 자리매김하고 있습니다.