20.03 LTS

Menu

目录

启动安全容器

用户可以使用docker-engine或者iSulad作为安全容器的容器引擎,两者的调用方式类似,请用户自行选择一种方式启动安全容器。

启动安全容器的操作步骤如下:

  1. 确保安全容器组件已经正确安装部署。
  2. 准备容器镜像。假设容器镜像为busybox,使用docker-engine和iSula容器引擎下载容器镜像的命令分别如下:

    docker pull busybox
    
    isula pull busybox
    
  3. 启动一个安全容器。使用docker-engine和iSula容器引擎启动安全容器的命令分别如下:

    docker run -tid --runtime kata-runtime --network none busybox <command>
    
    isula run -tid --runtime kata-runtime --network none busybox <command>
    

    说明:
    安全容器网络使用仅支持CNI网络,不支持CNM网络,不支持使用-p和–expose暴露容器端口,使用安全容器时需指定参数–net=none。

  4. 启动一个Pod

    1. 启动pause容器并根据回显获取pod的sandbox-id。使用docker-engine和iSula容器引擎启动的命令分别如下:

      docker run -tid --runtime kata-runtime --network none --annotation io.kubernetes.docker.type=podsandbox <pause-image> <command>
      
      isula run -tid --runtime kata-runtime --network none --annotation io.kubernetes.cri.container-type=sandbox <pause-image> <command>
      

        

    2. 创建业务容器并加入到这个pod中。使用docker-engine和iSula容器引擎创建的命令分别如下:

      docker run -tid --runtime kata-runtime --network none --annotation io.kubernetes.docker.type=container --annotation io.kubernetes.sandbox.id=<sandbox-id> busybox <command>
      
      isula run -tid --runtime kata-runtime --network none --annotation io.kubernetes.cri.container-type=container --annotation io.kubernetes.cri.sandbox-id=<sandbox-id> busybox <command>
      

      –annotation用于容器类型的标注,这里的docker-engine和isula提供该字段,上游社区的开源docker引擎则不提供。