Стандарт OCI & Runtime

Open Container Initiative описывает три спеки: image (слоистый тарбол + manifest), distribution (HTTP API реестра) и runtime (как развернуть и запустить bundle). runc, crun, youki — это OCI-runtime; containerd и CRI-O стоят над ними. Знание OCI помогает понимать, почему образ, собранный на одной платформе, запускается где угодно, почему docker pull и crane pull видят одни и те же байты и как Kubernetes переключает runtime. Продвинуто: смотрите манифест через crane manifest или skopeo inspect.

Как это работает

Стандарт OCI & Runtime начинается с понимания: контейнер — это процесс (или дерево процессов) на ядре хоста со своими namespace для файловой системы, сети, PID — не VM. Ядро Linux даёт namespaces (изоляция) и cgroups (лимиты ресурсов); Docker — один из runtime, оборачивающий эти примитивы в удобный CLI + формат образов. Образы собираются один раз и запускаются везде, где есть совместимое ядро; слоёная модель даёт дешёвые пересборки за счёт кэша.

Когда применять

Берите контейнеры, когда нужно (а) воспроизводимые сборки между dev/CI/prod, (б) плотное размещение сервисов на одном хосте, (в) быстрый старт по сравнению с VM, (г) переносимый артефакт для дистрибуции. Пропустите для одноразовых shell-скриптов, hard-realtime нагрузок или приложений с привилегированным доступом к ядру (containers + privileged даёт тот же blast radius, что и VM, часто без VM-уровня изоляции).

Типичные ошибки

Ловушки Стандарт OCI & Runtime: путаница контейнеров с VM и ожидание полной изоляции (контейнер делит ядро — kernel-CVE пробивает границу); запуск контейнеров как root внутри (escapes проще); поставка 2 GB Ubuntu-образа для запуска 5 MB Go-бинарника; монтирование /var/run/docker.sock в контейнер "для удобства" (это root на хосте). Считайте контейнеры частью модели безопасности, не границей безопасности сами по себе.

Связанные понятия

• Введение в контейнеры
• Почему существуют контейнеры
• Контейнеры против виртуальных машин
• Linux Namespaces & cgroups