“

包括 nydus 的基本概念、架构和容器镜像加速使用方法。

1. nydus

1.1 存在的问题

• 对于容器镜像使用者

  问题一：启动容器慢：容器启动慢的情况普遍发生在当用户启动一个很大的容器镜像时，由于在容器准备阶段需要三步（以overlayfs为例）：

• 下载镜像

• 解压镜像

• 使用overlayfs将容器可写层和镜像中的只读层聚合起来提供容器运行环境

其中，下载镜像阶段需要下载整个镜像文件，不能实现文件数据按需加载。再加上下载镜像本身受限于网络带宽，当容器镜像达到GB级别时，下载时间会较长，破坏了容器原本优秀的用户体验。

问题二：较高的本地存储成本：不同镜像之间可以共享的最小单位是镜像中的层，缺点之一是重复数据的处理效率较低。原因如下：

• 首先，层内部存在重复的数据

• 其次，层与层之间可能存在大量重复的数据，即使有微小的差别，也会被作为不同的层

• 再次，根据 OCI imagespec 对删除文件和 hardlink 的设计，镜像内部已经被上层删除的文件可能仍然存在于下层，并包含在镜像中

• 对于镜像提供者

  这里的提供者主要指容器服务的镜像中心。

  问题一：巨大的存储资源浪费

• 存在大量相似镜像，造成这种情况有两个原因：

• 首先，上面提到的层的缺点，导致在容器镜像中心存在许多相似镜像；

• 其次，OCI image 使用了 tar+gzip 格式来表示镜像中的层，而 tar 格式并不区分 tar archive entries ordering，这带来一个问题，如果用户在不同机器上 build 同一个镜像，最终可能会因为使用了不同的文件系统而得到不同的镜像，用户上传之后，镜像中心中会存在若干不同镜像的实质内容是完全相同的情况。

• 镜像去重效率低

  虽然镜像中心有垃圾回收机制来实现去重功能，但其仍然以层为单位，所以只能在有完全相同hash value 的层之间去重。

问题二：云原生软件供应链带来的新需求

随着时间推移，和软件供应链一起发展的还有对软件供应链环节的多样性攻击手段。安全防护是软件供应链中非常重要的组成，不光体现在对软件本身的安全增强，也体现在对供应链的安全增强。因为应用运行环境被前置到了容器镜像中，所以对容器镜像的安全，包括对镜像的漏洞扫描和签名成为了容器服务提供者的必要能力。

• OCI 镜像规范的缺陷

主要的缺陷有两点：

• tar格式标准

• tar格式并不区分tar archive entries ordering，这带来一个问题，即如果用户在不同机器上 ；build 同一个镜像，最终可能会因为使用了不同的文件系统而得到不同的镜像，比如在文件系统A 上的 order 是 foo 在 bar 之前进入 tar，在文件系统 B 上的 order 是 bar 在 foo 之前进入tar，那么这两个镜像是不同的；

• 当 tar 被 gzip 压缩过之后不支持 seek，导致运行之前必须先下载并解压 targz 的 image layers，而不能实现文件数据按需加载。

• 以层为镜像的基本单位

• 内容冗余：不同层之间相同信息在传输和存储时都是冗余内容，在不读取内容的时候无法判断到这些冗余的存在；

• 无法并行：每一层是一个整体，对同一个层既无法并行传输，也不能并行提取；

• 无法进行小块数据的校验，只有完整的层下载完成之后，才能对整个层的数据做完整性校验；

• 其他一些问题：比如，跨层数据删除难以完美处理。

1.2 nudys 基础

在容器的生产实践中，偏小的容器镜像能够很快部署启动。当应用的镜像达到GB级以上的时候，在节点上下载镜像通常会消耗大量的时间。Dragonfly 通过引入 P2P 网络有效地提升了容器镜像大规模分发的效率。然而，用户必须等待镜像数据完整下载到本地，然后才能创建自己的容器。

Nydus 是在最新的 OCI Image-Spec 基础之上设计的容器镜像加速服务，重新设计了镜像格式和底层文件系统，从而加速容器启动速度，提高大规模集群中的容器启动成功率。nydus 由阿里云和蚂蚁集团的工程师合作开发，并大规模部署在内部的 生产环境中。

nydus 优化了现有的 OCI 镜像标准格式，并以此设计了一个用户态的文件系统。通过这些优化，nydus 能够提供这些特性：

• 容器镜像按需下载，用户不再需要下载完整镜像就能启动容器

• 块级别的镜像数据去重，最大限度为用户节省存储资源

• 镜像只有最终可用的数据，不需要保存和下载过期数据

• 端到端的数据一致性校验，为用户提供更好的数据保护

• 兼容 OCI 分发标准和 artifacts 标准，开箱即可用

• 支持不同的镜像存储后端，镜像数据不只可以存放在镜像仓库，还可以放到 NAS 或者类似 S3 的对象存储上

• 与 Dragonfly 的良好集成

1.3 nydus 架构

nydus 的架构主要包含两部分内容：

• 新的镜像格式（Rafs）

  nydus 把一个容器镜像分成元数据和数据两层。其中元数据层是一棵自校验的哈希树。每个文件和目录都是哈希树中的一个附带哈希值的节点。一个文件节点的哈希值是由文件的数据确定，一个目录节点的哈希值则是由该目录下所有文件和目录的哈希值 确定。每个文件的数据被按照固定大小切片并保存到数据层中。数据切片可以在不同文件以及不同镜像中的不同文件共享。

• 负责解析容器镜像的 FUSE 用户态文件系统进程

  nydus 兼容多种文件系统，能够解析 FUSE 和 virtiofs 协议来支持传统的 runc 容器、 Kata容器。对于存储后端，支持使用容器仓库（Registery）、OSS 对象存储 、NAS、Dragonfly 的超级节点和 Peer 节点作为nydus 的镜像数据存储后端。此外，为了加速启动速度，nydus 还可以配置一个本地缓存，避免每次启动容器时都从远端数据源拉取数据。

1.4 nydus 特性

• 容器启动速度变快

用户部署了 nydus 镜像服务后，由于使用了按需加载镜像数据的特性，容器的启动时间明显缩短。在官网的测试数据中，nydus 能够把常见镜像的启动时间，从数分钟缩短到数秒钟。理论上来说，容器镜像越大，nydus 体现出来的效果越明显。

• 提供运行时数据一致性校验

在传统的镜像中，镜像数据会先被解压到本地文件系统，再由容器应用去访问使用。解压前，镜像数据是完整校验的。但是解压之后，镜像数据不再能够被校验。这带来的一个问题就是，如果解压后的镜像数据被无意或者恶意地修改， 用户是无法感知的。而 nydus 镜像不会被解压到本地，同时可以对每一次数据访问进行校验，如果数据被篡改，则可以从远端数据源重新拉取。

从图中可以看出，对容器镜像数据进行运行时一致性校验是通过对每个数据块计算 SHA 256 实现的，这得益于 nydus 采用分块的方式管理镜像数据。如果在镜像文件非常大的时候，对整个镜像文件计算哈希值非常不现实。

1.5 nydus 镜像格式：RAFS

RAFS 是对 EROFS 文件系统的增强，拓展在云原生场景下的能力，使其适应容器镜像存储场景。RAFS v6 是内核态的容器镜像格式，除了将镜像格式下沉到内核态，还在镜像格式上进行了一系列优化，例如块对齐、更加精简的元数据等。

• RAFS v6 镜像格式

  

1.6 nydus-snapshotter

Nydus snapshotter 是 containerd 的一个外部插件，使得 containerd 能够使用 nydus 镜像加速服务。在 containerd 中， snapshot 的工作是给容器提供 rootfs，Nydus snapshotter 实现了 containerd 的 snapshot 的接口，使得 containerd 可以通过 nydus 准备 rootfs 以启动容器。由于 nydus-snapshotter 实现了按需加载的特性，在 containerd 启动容器时，只需要根据容器镜像的元数据信息准备 rootfs，部分目录对应的数据并未存储在本地，当在容器中访问到（本地访问未命中）这部分数据时，通过 nydusd 从镜像 registry 拉取对应数据内容。

2. FUSE

用户态文件系统（filesystem in userspace， 简称FUSE）使得用户无需修改内核代码就能创建自定义的文件系统。FUSRE催生了著名的 fuse-overlayfs，其在 rootless 容器化中扮演重要的角色。

用户态文件系统并不完全在用户态实现，由两部分组成：内核模块和用户态进程。

• 内核模块：文件系统数据流程的功能实现，负责截获文件访问请求和返回用户态进程处理请求的结果

• 用户态进程：负责处理具体的数据请求，对应处理函数由内核模块触发

FUSE 的工作流程如下图：

其中，fuse_user 是运行在用户态的文件系统进程，该程序会在启动时注册实现的数据请求处理接口，如 ls、cd、mkdir 等，同时，程序在某个路径挂载 fuse 文件系统 /tmp/fuse_fs，当对 /tmp/fuse_fs 执行相关操作时：

• 请求会经过 VFS（虚拟文件系统） 到达 fuse 的内核模块

• 内核模块根据请求类型，调用用户态进程注册的函数

• 当程序完成对请求的处理后，将结果通过 VFS 返回给系统调用

3. containerd

containerd 最开始是 Docker Engine 中的一部分，后来，containerd 被分离出来作为独立的开源项目，目标是提供更开放、稳定的容器运行基础设施。分离出来的 containerd 将具有更多的功能，涵盖整个容器运行时管理的所有需求。

containerd 是一个行业标准的容器运行时，强调简单性、健壮性和可移植性，可以作为守护进程运行在系统中。containerd的功能主要包括以下内容：

• 管理容器的生命周期（从创建容器到销毁容器）

• 拉取/推送容器镜像

• 存储管理（管理镜像及容器数据的存储）

• 调用 runc 运行容器（与 runc 等容器运行时交互）

• 管理容器网络接口及网络

containerd 采用 C/S 架构，服务端通过 unix domain socket 暴露低层 gRPC 接口，客户端通过这些 gRPC 接口管理节点上的容器，containerd 负责管理容器的镜像、生命周期、网络和存储，实际运行容器是由容器运行时（runc 是其中一种）完成。

containerd 将系统划分成不同的组件，每个组件由一个或多个模块协作完成（Core 部分），不同模块都以插件的形式集成到 containerd 中，插件之间相互依赖。

containerd 的组件可以分成三类：Storage、Metadata 和 Runtimes，snapshot 属于 Storage 组件中的一个插件，用来管理容器镜像的文件系统快照，镜像中的每一层都会被解压成文件系统快照。在使用 nydus 的 containerd 环境中，nydus-snapshotter 负责完成这部分工作。

4. erofs + fsache

• erofs over fscache 基本概念

erofs over fscache 是 Linux 内核原生的镜像按需加载特性，于 5.19 版本合入 Linux 内核主线。

已有的用户态方案会涉及频繁的内核态/用户态上下文切换，以及内核态/用户态之间的内存拷贝，从而造成性能瓶颈。这一问题在容器镜像已经全部下载到本地的时候尤其突出，容器运行过程中涉及的文件访问，都会陷出到用户态的服务进程。

事实上我们可以将按需加载的 （1）缓存管理和 （2）缓存未命中的时候通过各种途径 (例如网络) 获取数据，这两个操作解耦开。缓存管理可以下沉到内核态执行，这样当镜像在本地 ready 的时候，就可以避免内核态/用户态上下文的切换。而这也正是 erofs over fscache 技术的价值所在。

fscache/cachefiles (以下统称 fscache) 是 Linux 系统中相对成熟的文件缓存方案，广泛应用于网络文件系统，erofs over fscache 技术使得 fsache 能够支持 erofs 的按需加载特性。

容器在访问容器镜像的时候，fscache 会检查当前请求的数据是否已经缓存，如果缓存命中 (cache hit)，那么直接从缓存文件读取数据。这一过程全程处于内核态之中，并不会陷出到用户态。

缓存未命中 (cache miss)时 需要通知用户态的 Nydusd 进程以处理这一访问请求，此时容器进程会陷入睡眠等待状态；Nydusd 通过网络从远端获取数据，通过 fscache 将这些数据写入对应的缓存文件，之后通知之前陷入睡眠等待状态的进程该请求已经处理完成；之后容器进程即可从缓存文件读取到数据。

• erofs over fscache 优势

• 异步预取

  容器创建之后，当容器进程尚未触发按需加载 (cache miss) 的时候，用户态的 Nydusd 就可以开始从网络下载数据并写入缓存文件，之后当容器访问的文件位置恰好处于预取范围内的时候，就会触发 cache hit 直接从缓存文件读取数据，而不会再陷出到用户态。用户态方案则无法实现该优化。

• 网络 IO 优化

  当触发按需加载 (cache miss) 时，Nydusd 可以一次性从网络下载比当前实际请求的数据量更多的数据，并将下载的数据写入缓存文件。例如容器访问 4K 数据触发的 cache miss，而 Nydusd 实际一次性下载 1MB 数据，以减小单位文件大小的网络传输延时。之后容器访问接下来的这 1MB 数据的时候，就不必再陷出到用户态。用户态方案则无法实现该优化，因为即使触发 cache miss 的时候，用户态的服务进程同样实现了该优化，下一次容器访问位于读放大范围内的文件数据的时候，同样会陷出到用户态。

• 更佳的性能表现

  当镜像数据已经全部下载到本地的时候 (即不考虑按需加载的影响)，erofs over fscache 的性能表现显著优于用户态方案，同时与原生文件系统的性能相近，从而实现与原生容器镜像方案 (未实现按需加载) 相近的性能表现。

5. 环境安装

• nerdctl 安装

# git clone https://github.com/rootless-containers/rootlesskit.git
# cd rootlesskit
# make && sudo make install

wget https://github.com/containerd/nerdctl/releases/download/v0.22.2/nerdctl-full-0.22.2-linux-amd64.tar.gz
sudo tar -zxvf nerdctl-full-0.22.2-linux-amd64.tar.gz -C /usr/local

sudo systemctl enable --now containerd
sudo systemctl enable --now buildkit

# sudo apt-get install uidmap -y
# containerd-rootless-setuptool.sh install

sudo nerdctl version    # 需要使用sudo，不然会提示安装 rootless


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

• nydus 安装

安装主要的3个工具（也可以直接下载所有工具的二进制文件，编译安装时默认没有没有nydusify）：

• nydusify将 OCI 格式的容器镜像转换为 nydus 格式（RAFS）容器镜像的工具。

• nydus-image将解压后的容器镜像转换为 nydus 格式镜像的工具。

• nydusd解析 nydus 格式镜像并提供 FUSE 挂载点以供容器访问的守护程序。nydusd也可以用作 virtiofs 后端，使得 Guest 可以访问 Host 的文件。

git clone https://github.com/dragonflyoss/image-service.git

cd image-service

make && make install

# 默认没有安装 nydusify
wget https://github.com/dragonflyoss/image-service/releases/download/v2.1.0-rc.1/nydus-static-v2.1.0-rc.1-linux-amd64.tgz
mkdir nydus-static
tar -zxvf nydus-static-v2.1.0-rc.1-linux-amd64.tgz -C nydus-static
sudo cp nydus-static/nydusify /usr/local/bin
sudo cp nydus-static/nydus-overlayfs /usr/local/bin

nydus-image --version
nydusify --version
nydusd --version


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

• 安装nydus-snapshotter

git clone github.com/containerd/nydus-snapshotter.git
cd nydus-snapshotter
make && make install

sudo systemctl enable nydus-snapshotter
sudo systemctl start nydus-snapshotter
systemctl status nydus-snapshotter

1
2
3
4
5
6
7
8

nydus-snapshotter以 service 的形式运行 /usr/local/bin/containerd-nydus-grpc 可执行文件，配置信息位于 /etc/nydus/config.json 文件。

默认 address 位置：/run/containerd-nydus/containerd-nydus-grpc.sock

默认工作目录：/var/lib/containerd-nydus-grpc

默认缓存目录：/var/lib/containerd-nydus-grpc/cache

• 部署本地镜像仓库（测试用）

# sudo docker run -d -p 5000:5000 \
# --restart=always \
# --name registry \
# -v /var/lib/registry:/var/lib/registry \
# -d registry

sudo docker run -d --name=registry --restart=always -p 5000:5000 registry
sudo docker logs registry -f


1
2
3
4
5
6
7
8
9
10

• 将OCI格式的镜像转换为RAFS格式镜像

sudo nydusify convert \
  --nydus-image $(which nydus-image) \
  --source ubuntu:16.04 \
  --target localhost:5000/ubuntu:16.04-nydus


1
2
3
4
5
6

nydusify 基本命令：

转换后的镜像层文件位于当前目录下的tmp文件夹：

sudo tree tmp -L 4


1
2
3

将 OCI 标准的镜像格式转换为 nydus 使用的 RAFS 镜像格式后，可以使用 nydusd 解析并提供 fuse 挂载点供容器使用。编写配置文件 registry.json，使得 nydus 使用 容器镜像 registry （已经搭建本地容器镜像 register 用于测试）作为存储后端。

{
  "device": {
    "backend": {
      "type": "registry",
      "config": {
        "scheme": "http",
        "host": "localhost:5000",
        "repo": "ubuntu"
      }
    },
    "digest_validate": false
  },
  "mode": "direct"
}


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

挂载 RAFS 镜像 为 fuse 挂载点，–bootstrap 参数传递位于 tmp/bootstraps 下的文件路径：

sudo nydusd \
  --config ./registry.json \
  --mountpoint /mnt \
  --bootstrap ./tmp/bootstraps/4-sha256:fb15d46c38dcd1ea0b1990006c3366ecd10c79d374f341687eb2cb23a2c8672e \
  --log-level info


1
2
3
4
5
6
7

查看挂载情况：

输出日志信息：

除了使用 nydusify 直接将 OCI 标准格式镜像转换为 nydus 格式镜像，nydus-image 工具也支持直接对已经解压的 OCI 容器镜像文件层转换为 nydus 格式镜像。

（1）获取OCI镜像元数据信息：

docker pull ubuntu:16.04
sudo docker inspect -f "{{json .GraphDriver }}" ubuntu:16.04  | jq .


1
2
3
4

Docker 使用 overlay2 存储驱动，通过所需的 lowerdir、upperdir、merged 和 workdir 结构自动创建 overlay 挂载点。

对于 Nydus 来说，目录树（通常是一个镜像层）由两部分组成：

• bootstrap：存储目录的文件系统元数据信息

• blob：存储目录中的所有文件数据

（2）建立生成 nydus 镜像的目录：

mkdir -p nydus-image/{blobs,layer1,layer2,layer3,layer4}


1
2
3

（3）转换最底层的镜像层：

sudo nydus-image create \
  --bootstrap ./nydus-image/layer1/bootstrap \
  --blob-dir ./nydus-image/blobs \
  --compressor none /var/lib/docker/overlay2/78f2b3506072c95ca3929a0a797c1819e8966b8bbf5ce8427b671296ca1ad35a/diff

tree -L 2 ./nydus-image


1
2
3
4
5
6
7
8

（4）转换第二底层镜像层，–parent-bootstrap 指父层，即刚才转换好的镜像层：

sudo nydus-image create \
  --parent-bootstrap ./nydus-image/layer1/bootstrap \
  --bootstrap ./nydus-image/layer2/bootstrap \
  --blob-dir ./nydus-image/blobs \
  --compressor none /var/lib/docker/overlay2/373ea430abb0edd549583f949ec8259806d9eb7d0a0416ec1494d2fc7efeeedc/diff


1
2
3
4
5
6
7

（5）转换第3层和第4层，每次都需要指定 --parent-bootstrap 为上一次生成的镜像层：

sudo nydus-image create \
  --parent-bootstrap ./nydus-image/layer2/bootstrap \
  --bootstrap ./nydus-image/layer3/bootstrap \
  --blob-dir ./nydus-image/blobs \
  --compressor none /var/lib/docker/overlay2/05424b8c067c59368c11ad5674d68d95365e87487bdf10e3d9842b1016583369/diff

sudo nydus-image create \
  --parent-bootstrap ./nydus-image/layer3/bootstrap \
  --bootstrap ./nydus-image/layer4/bootstrap \
  --blob-dir ./nydus-image/blobs \
  --compressor none /var/lib/docker/overlay2/942c712e7276be5bde4fb7b30f72583c4a9cf0b2aaa14215cd690daf893a630e/diff


1
2
3
4
5
6
7
8
9
10
11
12
13

将 nydus 镜像挂载到目录：

sudo nydusd \
  --config  ./localfs.json \
  --mountpoint /mnt \
  --bootstrap ./nydus-image/layer4/bootstrap \
  --log-level info


1
2
3
4
5
6
7

其中，localfs.json文件的内容为：

{
  "device": {
    "backend": {
      "type": "localfs",
      "config": {
        "dir": "//nydus-image/blobs"
      }
    }
  },
  "mode": "direct"
}


1
2
3
4
5
6
7
8
9
10
11
12
13

dir 为生成的 nydus 镜像文件中 blobs 目录的绝对路径。

6. 通过nydus+snapshotter启动容器

• 添加配置文件

Nydus 提供了 containerd 远程快照管理工具 containerd-nydus-grpc 用于准备 nydus 镜像格式的容器rootfs，首先将 nydusd 配置保存到 /etc/nydus/config.json 文件。

sudo tee /etc/nydus/config.json > /dev/null << EOF
{
  "device": {
    "backend": {
      "type": "registry",
      "config": {
        "scheme": "http",
        "skip_verify": false,
        "timeout": 5,
        "connect_timeout": 5,
        "retry_limit": 2,
        "auth": ""
      }
    },
    "cache": {
      "type": "blobcache",
      "config": {
        "work_dir": "cache"
      }
    }
  },
  "mode": "direct",
  "digest_validate": false,
  "iostats_files": false,
  "enable_xattr": true,
  "fs_prefetch": {
    "enable": true,
    "threads_count": 4
  }
}
EOF


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

containerd-nydus-grpc 会自动从 $HOME/.docker/config.json 中读取 docker login auth，如果不想使用这个值，需要直接替换配置文件中的内容。

直接从终端启动 containerd-nydus-grpc，如果已经通过 containerd-nydus-grpc service 启动，则可以跳过此步骤：

sudo /usr/local/bin/containerd-nydus-grpc \
    --config-path /etc/nydus/config.json \
    --shared-daemon \
    --log-level info \
    --root /var/lib/containerd/io.containerd.snapshotter.v1.nydus \
    --cache-dir /var/lib/nydus/cache \
    --address /run/containerd-nydus/containerd-nydus-grpc.sock \
    --nydusd-path /usr/local/bin/nydusd \
    --nydusimg-path /usr/local/bin/nydus-image \
    --log-to-stdout


1
2
3
4
5
6
7
8
9
10
11
12

• 修改containerd配置文件，proxy_plugins.nydus 的 address 和 containerd-nydus-grpc 的对应。

sudo tee -a /etc/containerd/config.toml << EOF
[proxy_plugins]
  [proxy_plugins.nydus]
    type = "snapshot"
    address = "/run/containerd-nydus/containerd-nydus-grpc.sock"

[plugins.cri]
  [plugins.cri.containerd]
    snapshotter = "nydus"
    disable_snapshot_annotations = false
EOF

sudo systemctl restart containerd
sudo ctr -a /run/containerd/containerd.sock plugin ls | grep nydus


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

• 通过nydus启动容器

# 转换镜像并上传到本地 registry
sudo nydusify convert --nydus-image /usr/local/bin/nydus-image --source ubuntu --target localhost:5000/ubuntu-nydus

sudo nerdctl --snapshotter nydus pull localhost:5000/ubuntu-nydus:latest
sudo nerdctl --snapshotter nydus run --rm -it localhost:5000/ubuntu-nydus:latest bash


1
2
3
4
5
6
7

• 重启主机之后启动环境

sudo systemctl restart nydus-snapshotter
sudo systemctl restart containerd

sudo docker rm -f registry
sudo docker run -d --name=registry --restart=always -p 5000:5000 registry && sudo docker logs registry -f


1
2
3
4
5
6
7

参考资料：

[1] OCI 镜像标准格式: https://github.com/opencontainers/image-spec

[2] 自校验的哈希树: https://en.wikipedia.org/wiki/Merkle_tree

[3] FUSE: https://www.kernel.org/doc/html/latest/filesystems/fuse.html

[4] virtiofs: https://virtio-fs.gitlab.io/

[5] runc 容器: https://github.com/opencontainers/runc

[6] Kata容器: https://katacontainers.io/

[7] OSS 对象存储: https://www.alibabacloud.com/product/oss

[8] nydus-snapshotter: https://github.com/containerd/nydus-snapshotter

[9] fuse-overlayfs: https://github.com/containers/fuse-overlayfs

[10] 5.19 版本: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=65965d9530b0c320759cd18a9a5975fb2e098462