nerdctl 入门指南：从安装到容器管理

1. 为什么选择 nerdctl 管理容器如果你已经熟悉 Docker 的命令行工具那么第一次接触 nerdctl 时会感到非常亲切。作为 containerd 生态中的明星工具nerdctl 提供了与 Docker CLI 高度兼容的操作体验但底层却采用了更轻量级的 containerd 运行时。我在实际项目中使用 nerdctl 一年多后发现它在资源占用和启动速度上比传统 Docker 方案平均提升了15%-20%特别是在 Kubernetes 环境中表现尤为出色。nerdctl 的核心优势在于其模块化设计。与 Docker 的全家桶式架构不同nerdctl 将镜像构建buildkit、网络管理CNI等功能作为可插拔组件。这种设计让系统管理员可以根据实际需求灵活选择组件比如在 CI/CD 流水线中只需要基础容器运行时的情况下就能显著减少不必要的资源开销。2. 安装前的环境准备2.1 硬件与系统要求虽然 nerdctl 本身非常轻量但要运行容器化应用仍需满足一些基本条件。根据我的经验建议至少准备2核CPUx86_64或ARM64架构4GB内存20GB可用磁盘空间Linux内核版本4.14以上推荐5.x我在树莓派4BARM架构上测试时发现当运行超过5个容器时内存会成为主要瓶颈。这时候可以通过修改 containerd 的配置文件来限制单个容器的内存用量sudo vi /etc/containerd/config.toml找到[plugins.io.containerd.grpc.v1.cri.containerd.runtimes.runc.options]部分添加SystemdCgroup true MemoryLimit true2.2 依赖组件安装nerdctl 需要 containerd 作为底层运行时而 containerd 又依赖 runc。在 Ubuntu 22.04 上安装这些依赖最简便的方法是# 安装基础工具 sudo apt-get update sudo apt-get install -y ca-certificates curl gnupg lsb-release # 添加 Docker 官方 GPG 密钥 sudo mkdir -p /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg # 设置稳定版仓库 echo deb [arch$(dpkg --print-architecture) signed-by/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable | sudo tee /etc/apt/sources.list.d/docker.list /dev/null # 安装 containerd sudo apt-get update sudo apt-get install -y containerd.io安装完成后需要生成 containerd 的默认配置sudo mkdir -p /etc/containerd sudo containerd config default | sudo tee /etc/containerd/config.toml3. 安装 nerdctl 的三种方式3.1 二进制直接安装推荐这是最快捷的安装方式适合大多数 Linux 发行版。我通常从 GitHub Release 页面下载最新稳定版# 下载最新版示例使用v1.7.7 VERSION1.7.7 wget https://github.com/containerd/nerdctl/releases/download/v${VERSION}/nerdctl-${VERSION}-linux-amd64.tar.gz # 解压到系统路径 sudo tar Cxzvf /usr/local/bin nerdctl-${VERSION}-linux-amd64.tar.gz # 验证安装 nerdctl --version3.2 使用包管理器安装对于 Arch Linux 用户可以通过 AUR 安装yay -S nerdctlmacOS 用户可以通过 Homebrew 安装brew install nerdctl3.3 完整套件安装如果需要完整的容器生态工具链包括CNI、buildkit等可以安装 nerdctl-fullwget https://github.com/containerd/nerdctl/releases/download/v1.7.7/nerdctl-full-1.7.7-linux-amd64.tar.gz sudo tar Cxzvf /usr/local nerdctl-full-1.7.7-linux-amd64.tar.gz这种安装方式会将所有组件部署到/usr/local/libexec/nerdctl目录下。4. 基础配置与调优4.1 连接 containerd 的三种方式nerdctl 默认会尝试连接以下位置的 containerd socket/run/containerd/containerd.sock默认/run/docker/containerd/containerd.sockDocker兼容模式$XDG_RUNTIME_DIR/containerd/containerd.sock用户级如果 containerd 使用了非标准路径可以通过环境变量指定export CONTAINERD_ADDRESS/custom/path/containerd.sock或者在每次命令中显式指定nerdctl --address /custom/path/containerd.sock ps4.2 命名空间配置containerd 支持多租户隔离nerdctl 默认使用default命名空间。在 Kubernetes 环境中使用时建议切换到k8s.io命名空间nerdctl --namespace k8s.io ps为了方便可以设置别名alias knctlnerdctl --namespace k8s.io5. 容器生命周期管理实战5.1 镜像操作技巧拉取镜像时我发现使用--unpack参数可以显著加快后续容器启动速度nerdctl pull --unpack docker.io/library/nginx:alpine查看镜像分层信息nerdctl image inspect --modenative docker.io/library/nginx:alpine导出/导入镜像的推荐方式# 导出 nerdctl save -o nginx.tar docker.io/library/nginx:alpine # 导入 nerdctl load -i nginx.tar5.2 容器网络配置nerdctl 默认使用 CNI 网络插件创建自定义网络nerdctl network create --driver bridge my-bridge运行容器时指定IP地址nerdctl run -d --name web \ --network my-bridge \ --ip 192.168.100.2 \ nginx:alpine查看网络详情nerdctl network inspect my-bridge6. 高级功能探索6.1 构建镜像最佳实践使用 buildkit 构建镜像时建议启用缓存和并行构建nerdctl build \ --buildkitd-flags --allow-insecure-entitlement security.insecure \ --progress plain \ -t myapp:v1 .我常用的多阶段构建模板# 第一阶段构建环境 FROM docker.io/library/golang:1.20 as builder WORKDIR /app COPY . . RUN go build -o myapp . # 第二阶段运行环境 FROM docker.io/library/alpine:3.18 COPY --frombuilder /app/myapp /usr/local/bin/ CMD [myapp]6.2 与 Kubernetes 集成将本地构建的镜像直接加载到 KinD 集群nerdctl build -t myapp:dev . nerdctl --namespace k8s.io image export myapp:dev | kind load image-archive -查看 Kubernetes 使用的镜像nerdctl --namespace k8s.io images7. 常见问题排查当遇到容器无法启动时我通常会按以下步骤排查查看 containerd 日志journalctl -u containerd -n 50 --no-pager检查 runc 容器状态sudo runc list启用 nerdctl 调试模式nerdctl --debug run ...检查 CNI 网络配置ls /etc/cni/net.d/最近遇到一个典型问题容器启动后立即退出状态码为137。经过排查发现是内存不足导致通过修改容器资源限制解决nerdctl run -d --memory 512m --name myapp myapp:latest