本文分析了runc的架构与设计，探讨了其与其他容器运行时的区别。runc采用两阶段初始化，使用C代码处理namespace切换，以克服Go运行时的限制。文章强调了安全性的重要性，包括关闭多余的文件描述符和支持seccomp过滤。通过对比指出miniruntime的不足，强调了cgroup管理和PTY管理的复杂性。整体上，runc的设计体现了工程上的优雅与安全性。

本文介绍了如何使用 Go 语言构建一个最小的容器运行时，涵盖容器的创建、启动、执行命令、信号处理和资源清理等功能。重点讲解了 reexec 技巧、cgroup 设置、rootfs 管理和网络配置。与 runc 相比，miniruntime 的代码量更少，但核心思路相似，后续将实现 OCI 规范兼容。

本文介绍了如何从零实现一个OCI兼容的迷你容器运行时，重点讨论Linux的namespace机制。通过使用clone()系统调用，创建独立的PID、UTS、Mount和IPC namespace，使进程在容器内拥有独立环境。文章还提到PID 1的特殊责任，包括回收僵尸进程和信号转发。最后强调容器技术是内核提供的隔离机制，核心在于namespace与cgroup的结合。

本系列文章从零开始实现容器运行时，深入解析Linux内核机制，如namespace和cgroup，适合熟悉Linux和编程的读者。内容包括安全加固、性能优化及与microVM的比较，最终构建OCI兼容的迷你运行时。

containerd是一个高效、可靠的开源容器运行时，用于管理和调度容器运行时的基本操作。它的架构分为生态系统、平台和客户端三个部分，包括与其集成的工具和组件。

Docker使用containerd进行容器管理和操作。Containerd是一个工业级标准的容器运行时，强调简单性、健壮性和可移植性。它可以管理容器的生命周期、拉取/推送容器镜像、存储管理和容器网络接口。Containerd被设计成嵌入到更大的系统中，而不是直接由开发人员或终端用户使用。

Kubernetes的容器运行时接口（CRI）连接kubelet与容器运行时，支持Exec、Attach和PortForward等远程过程调用（RPC）。Exec用于在容器内运行命令并流式传输输出，Attach用于连接到正在运行的进程，PortForward则转发主机端口到容器。所有RPC通过gRPC接口进行通信，支持WebSocket以满足最新需求。

Podman是一个开源的容器运行时项目，与Docker功能相似，但不需要守护进程和root权限。它可以管理和运行符合OCI规范的容器和容器镜像，并提供与Docker兼容的命令行前端。