)
⚠️ 前言:出来混,技术债迟早要还的
Kubernetes 1.30(代号Uwubernetes)已经稳定运行一段时间了,很多同学看着新特性眼馋,却迟迟不敢升级。
为什么?因为你们手里还攥着 1.23 甚至更老版本的集群。
横在你们面前的最大的拦路虎,不是 Control Plane 的升级,而是那个令无数运维闻风丧胆的变更——Dockershim 的彻底移除。
在 1.24 之前,K8s 为了兼容 Docker,硬是在 Kubelet 里塞了个“翻译官”叫 Dockershim。现在翻译官被裁员了,K8s 只要CRI(容器运行时接口)。这意味着:你必须把 Docker 换成 Containerd 或 CRI-O,否则节点将无法启动。
很多兄弟担心:“换了运行时,我的镜像怎么办?我的 CI/CD 脚本怎么办?业务会挂吗?”
别慌。今天我就用一套经过生产环境验证的**“平滑迁移方案”**,带你安全“着陆”到 K8s 1.30 时代。
🔍 深度原理:为什么要“干掉”Docker?
这并不是 K8s 针对 Docker,而是为了架构的纯粹性。
旧架构 (1.24 之前):
Kubelet ->Dockershim (翻译层)-> Docker Daemon -> containerd -> 容器
新架构 (1.24 及以后):
Kubelet ->CRI 插件-> containerd -> 容器
剥离的好处:
- 路径更短:少了一层调用,性能提升。
- 更稳定:Docker Daemon 重启不再影响 Pod 运行。
- 标准化:任何符合 CRI 标准的运行时(如 gVisor, Kata Containers)都能无缝接入。
🛠️ 实战教程:从 Docker 切换到 containerd
注意:生产环境建议采用**“滚动升级”**策略,先对一台非核心节点进行以下操作。
1. 驱逐节点 (Cordon & Drain)
先让节点“只出不进”,并把现有的 Pod 赶到其他节点去。
kubectl cordon node-01 kubectl drain node-01 --ignore-daemonsets --delete-emptydir-data2. 配置 containerd
Docker 安装时通常自带了 containerd,但我们需要开启它的 CRI 插件功能。
# 生成默认配置mkdir-p /etc/containerd containerd config default>/etc/containerd/config.toml# ⚠️ 关键步骤:修改 SystemdCgroup# 打开 config.toml,找到 SystemdCgroup = false 改为 truesed-i's/SystemdCgroup = false/SystemdCgroup = true/g'/etc/containerd/config.toml# 重启 containerdsystemctl restart containerd3. 修改 Kubelet 配置
告诉 Kubelet:“别找 Docker 了,去连 containerd 吧。”
编辑/var/lib/kubelet/kubeadm-flags.env或/etc/default/kubelet,添加以下参数:
--container-runtime-endpoint=unix:///run/containerd/containerd.sock4. 重启 Kubelet 并验证
systemctl restart kubelet# 查看节点状态,VERSION 栏应该显示 containerd://x.x.x 而不是 docker://...kubectl get nodes -o wide确认无误后,kubectl uncordon node-01恢复节点上线。
💣 踩坑清单:那些文档里没写的“暗雷”
这才是本文最值钱的部分。切换运行时后,你的很多习惯得改改了。
坑一:docker ps啥也看不到了?
现象:升级后习惯性输入docker ps,结果空空如也,但kubectl get pod显示业务在跑。
原因:Docker Daemon 已经被旁路了,它根本不知道 K8s 在跑什么容器。
解法:拥抱新工具crictl。它是 CRI 时代的命令行工具。
crictl ps(查看容器)crictl images(查看镜像)crictl logs <id>(查看日志)
配置 crictl:
# 创建 /etc/crictl.yamlruntime-endpoint: unix:///run/containerd/containerd.sock image-endpoint: unix:///run/containerd/containerd.sock timeout:10debug:false坑二:镜像构建挂了?(Docker in Docker)
现象:Jenkins 流水线里用挂载/var/run/docker.sock的方式构建镜像,升级后报错“文件不存在”。
原因:Dockershim 移除了,Kubelet 不再拉起 Docker Daemon。
解法:
- Kaniko:谷歌推出的无 Daemon 构建工具(推荐)。
- 独立构建机:不要在 K8s 节点上构建,专门搞一台装 Docker 的机器做 CI。
坑三:日志采集失效
现象:Fluentd 或 Filebeat 采集不到日志了。
原因:
- Docker 的日志默认是 JSON 格式。
- Containerd (CRI) 的日志默认是空格分隔的标准格式(time stream log)。
解法:修改日志采集器的 Parser 配置,或者在 containerd 配置中强行改回 json 格式(不推荐)。
坑四:“k8s.io” 命名空间
现象:手动用ctr(containerd自带工具) 拉了镜像,K8s 却说找不到。
原因:containerd 有命名空间(namespace)概念。K8s 默认用k8s.io,而ctr默认用default。
解法:
ctr -n k8s.io images pull nginx:latest# 或者直接用 crictl (它自动识别 k8s.io)📝 总结
升级到 K8s 1.30 并抛弃 Docker,是每个云原生团队的必经之路。
虽然过程痛苦,像是给行驶中的汽车换引擎,但换完之后,你将拥有更轻量、更稳定、且符合未来标准的底座。
别害怕改变,技术人的护城河,就是在一次次填坑中建立起来的。
