Rkt容器介绍

Rkt简介

Rkt诞生于2014年12月，是一种与Docker类似的容器引擎，由CoreOS公司主导，得到了Redhat、Google、Vmware等公司的支持，更加专注于解决安全、兼容、执行效率等方面的问题。

CoreOS公司最早是Docker的支持者，其产品CoreOS操作系统是适用于企业的轻量级容器化的Linux发行版，是Docker生态圈的重要一员。随着Docker在容器行业变得逐渐强大，Docker也越来越臃肿，CoreOS公司希望有一个更加开放和中立的容器标准，因此推出了自己的容器计划。

Rkt主要的特征包括：

(1)原生支持Pod：Rkt和Kubernetes联系更紧密，基本执行单元是Kubernetes中的Pod，将资源和用户应用连接在一起。

(2)安全：Rkt的开发原则是默认安全，具有一系列安全特征，例如支持SELinux、TPM和在硬件隔离的虚拟机中运行。Rkt包含权限拆分功能，旨在避免不必要的以root权限运行的操作，同时提供默认的签名验证与其它出于安全性考虑的先进功能。

(3)可组合性：采用了无后台守护程序模式，意味着能够轻松与标准init系统相集成，例如systemd与upstart，或者其它集群编排系统，例如Nomad与Kubernetes。

(4)开放标准和兼容性：Rkt实现了AppC规范，支持 Container Networking Interface specification，镜像格式为App Container Image，简称ACI，也可以运行Docker镜像。

01

AppC标准应用容器规范

CoreOS公司结合社区的容器实现，制定了开放容器规范，即AppC，全称是“Application Container Specification（标准应用容器规范）”，Rkt是AppC规范的一个具体实现。

AppC容器规范设计目标有以下特征：

(1)组件式工具：用于下载、安装和运行容器的操作工具应该相互独立可替换且良好的集成。

(2)镜像安全性：传输需要使用加密协议，容器工具应当含有验证机制和应用标识，避免不安全来源的镜像。

(3)去中心化：镜像发现应该使用分布式的检索和命名空间。支持多种协议，例如BitTorrent协议，在私有环境中可以不用注册。

(4)开放性标准：容器镜像的格式与运行应该由社区制定和开发。不同的工具实现都能够运行此镜像文件。

02

Rkt容器的基本使用方法

Rkt预装在CoreOS系统中，也可以安装在其他Linux发行版中，下面以CentOS系统为例介绍。安装方式可以从GitHub网站下载软件包安装，也可以选择压缩包方式安装；Rkt的最新版本是1.29.0。

Rkt软件下载https://github.com/rkt/rkt/releases

(1)下载Rkt软件

wget https://github.com/rkt/rkt/releases/download/v1.29.0/rkt-v1.29.0.tar.gz

(2)安装软件，绿色安装，将软件包解压至本地后就可以使用。

tar xzvf rkt-v1.29.0.tar.gz

cd rkt-v1.29.0

(3)检查版本

rkt version

rkt Version: 1.29.0

appc Version: 0.8.11

Go Version: go1.8.3

Go OS/Arch: linux/amd64

执行rkt version命令后程序返回了Rkt工具和AppC标准的版本信息，表示软件已经正确安装了。

(4)下载镜像

Rkt对镜像的安全性要求较高，在镜像下载和运行前，需要添加镜像发布者的公共密钥，用来验证镜像信息，避免不安全的镜像来源。

下面的命令添加CoreOS的签名信息

rkt trust --prefix=coreos.com/etcd

Prefix: "coreos.com/etcd"

Key: "https://coreos.com/dist/pubkeys/aci-pubkeys.gpg"

GPG key fingerprint is: 8B86 DE38 890D DB72 9186 7B02 5210 BD88 8818 2190

CoreOS ACI Builder

Are you sure you want to trust this key (yes/no)? yes

Trusting "https://coreos.com/dist/pubkeys/aci-pubkeys.gpg" for prefix "coreos.com/etcd".

Added key for prefix "coreos.com/etcd" at "/etc/rkt/trustedkeys/prefix.d/coreos.com/etcd/8b86de38890ddb7291867b025210bd8888182190"

Rkt使用content addressable storage（CAS）来在本地存放镜像。下载后的镜像会存放在/var/lib/rkt/cas/blob/sha512/仓库目录中，并以SHA512哈希值作为镜像的文件名。

对于私有的仓库，需要提供用户名和密码等认证信息；rkt支持通过配置文件提供多种认证信息。如下在/etc/rkt/auth.d/目录下添加一个认证信息配置文件。

/etc/rkt/auth.d/coreos-basic.json:

{

"rktKind": "auth",

"rktVersion": "v1",

"domains": ["coreos.com", "tectonic.com"],

"type": "basic",

"credentials": {

"user": "foo",

"password": "bar"

}

}

Rkt也可以支持下载运行Docker镜像，需要在镜像路径前面加上docker://，由于Docker镜像是没有签名认证机制的，因此需要添加--insecure-options=image参数。下面的命令下载了ubuntu的Docker镜像。

rkt fetch --insecure-options=image docker://ubuntu

Downloading sha256:fc0342a94c8 [=============================] 170 B / 170 B

Downloading sha256:f6d82e297bc [=============================] 846 B / 846 B

Downloading sha256:275abb2c8a6 [=============================] 621 B / 621 B

Downloading sha256:9f15a39356d [=============================] 854 B / 854 B

Downloading sha256:50aff78429b [===========================]42.7 MB/42.7 MB

sha512-e78ef9eacd302501a0d1d9516f91a01c

(5)查询下载的镜像

rkt image list

ID NAME SIZE IMPORT TIME LAST USED

sha512-e78ef9eacd30 registry-1.docker.io/library/ubuntu:latest 86MiB 27 seconds ago 27 seconds ago

使用rkt image list命令可以显示出本地的镜像信息。

(6)运行容器

运行容器的命令是rkt run，参数是镜像的命名或者镜像的哈希值或者镜像的完整地址。

rkt run --interactive docker://ubuntu

root@rkt-05575170-463c-480e-bc69-54f964f85d1a:/# Container rkt-05575170-463c-480e-bc69-54f964f85d1a terminated by signal KILL.

容器启动后会自动运行镜像制作时指定的入口程序，按3次Ctrl+]组合键会退出当前容器。--interactive表示启用交互模式，后台运行镜像需要使用&。

(7)查询容器运行信息

rkt list

UUID APP IMAGE NAME STATE CREATED STARTED NETWORKS

4fa62eee ubuntu registry-1.docker.io/library/ubuntu:latest running 23 seconds ago 23 seconds ago default:ip4=172.16.28.7

(8)更多功能

通过rkt help命令可以查询支持的命令和参数，常用的命令有

enter 进入容器的命名空间

export 将容器内容输出至ACI文件中

image rm 删除镜像

rm 删除容器相关的资源和文件

status 检查容器的状态

stop 停止容器的运行

Rkt作为一种新兴的容器实现，与Docker相比，还有很多不完善的地方，但是作为竞争者必将促进容器技术的良性发展。

找按扫描二维码

感谢您的关注