文章目录
podman简介
容器编排工具作为当今最重要的Web开发技术之一,众多强者都在尝试争夺这一行业的主导地位。
Podman是一个开源项目,可在大多数Linux平台上使用并开源在GitHub上。Podman是一个无守护进程的容器引擎,用于在Linux系统上开发,管理和运行Open Container Initiative(OCI)容器和容器镜像。
Podman作为RedHat的一款产品,旨在使用类似于Kubernetes的方法来构建、管理和运行容器,作为一款主流容器的可靠替代产品,它吸引了开发人员的关注。自RHEL 8起,Red Hat用CRI-O/Podman取代了Docker Daemon。
为什么Red Hat想要摆脱Docker Daemon?这是因为使用Docker Daemon运行Docker有以下这些问题:
①单点故障问题,Docker Daemon一旦死亡,所有容器都将死亡
②Docker Daemon拥有运行中的容器的所有子进程
③所有Docker操作都必须由具有跟root相同权限的用户执行
④构建容器时可能会导致安全漏洞
Podman通过直接与Image Registry、Image和Container进行互动,而不是通过守护进程来解决以上问题。
Podman控制下的容器可以由root用户运行,也可以由非特权用户运行。Podman管理整个容器的生态系统,其包括pod,容器,容器镜像,和使用libpod library的容器卷。Podman专注于帮助你维护和修改OCI容器镜像的所有命令和功能,例如拉取和标记。它允许我们在生产环境中创建,运行和维护从这些映像创建的容器。
更棒的是,它还提供了与Docker兼容的指令,使用户可以很轻易的从原本的Docker指令切换到Podman。简单地说你可以直接添加别名:alias docker = podman来使用podman。
官网:https://podman.io/
安装文档:https://github.com/containers/libpod/blob/master/install.md
配置参考:https://github.com/containers/image/blob/master/docs/containers-registries.conf.5.md
podman与docker的区别
架构
Docker使用守护进程,一个正在后台运行的程序,来创建镜像和运行容器。Podman是无守护进程的架构,这意味着它可以在启动容器的用户下运行容器。Docker有一个由守护进程引导的客户端——服务器逻辑架构;但Podman不需要此类守护进程。
Root特权
由于Podman没有守护进程来管理其活动,也无需为其容器分配Root特权。Docker最近在其守护进程配置中添加了Rootless模式,但Podman首先使用了这种方法,并将其作为基本特性进行了推广。原因如下。
Podman比Docker更安全
Podman允许容器使用Rootless特权。Rootless容器被认为比Root特权的容器更安全。在Docker中,守护进程拥有Root权限,这使得它们易成为攻击者的首选入侵点。
Podman中的容器默认情况下不具有Root访问权限,这在Root级别和Rootless级别之间添加了一个自然屏障,提高了安全性。不过,Podman可以同时运行Root容器和Rootless容器。
Systemd的支持
如果没有守护进程,Podman需要另一个工具来管理服务并支持后台运行的容器。Systemd为现有容器创建控制单元或用来生成新容器。Systemd还可以与Podman集成,允许它在默认情况下运行启用了Systemd的容器,从而无需进行任何修改。
通过使用Systemd,供应商可以将他们的应用程序封装为容器用来安装、运行和管理,因为现在大多数应用程序都是通过这种方式打包和交付的。
构建镜像
作为一款自给自足的工具,Docker可以自己构建容器镜像。Podman则需要另一种名为Buildah的工具的辅助,该工具充分体现了它的特殊性:它是为构建镜像而设计的,而不是为构建容器而生。
Docker Swarm
Podman不支持Docker Swarm,这可能会在某些项目中被刨除在外,因为使用Docker Swarm命令会产生一个错误。然而,Podman最近增加了对Docker Compose的支持,使其与Swarm兼容,从而克服了这个限制。当然,Docker由于其原生的特性,与Swarm当然融合得很好。
All in one vs 模块化
也许这就是这两种技术的关键区别:Docker是一个独立的、强大的工具,在整个循环中处理所有的容器化任务,有优点也有缺点。Podman采用模块化的方法,依靠专门的工具来完成特定的任务。
podman与docker的关系
Podman会完全替代docker吗?
不会。如果你要从头开始一个项目,Podman可以是一个首要的容器化技术选项。如果项目正在进行,并且已经在使用Docker,这还需要具体情况具体分析,实际情况并不一定值得去改。而且作为一款Linux原生的应用,它要求相关开发人员具备Linux的相关技能。
开发人员可以在开发阶段依赖Docker,然后在运行时环境中将项目推向Podman,从而结合使用这两种工具,并受益于Podman所提供的更安全性。由于它们都是OCI兼容的,因此,兼容性不是个问题。
Docker和Podman能共存吗?
可以,而且会很好。许多开发人员一直在合用Docker和Podman来创建更安全、更高效、更敏捷的框架。它们有很多共同之处,无论是从Docker到Podman的转变,亦或是二者合并使用,都可以做到无缝衔接。
podman的安装与使用
安装
- centos8, 国内阿里源
# dnf -y install podman
# podman version
Version: 3.3.1
API Version: 3.3.1
Go Version: go1.16.7
Built: Wed Nov 10 05:23:56 2021
OS/Arch: linux/amd64
配置加速器
#这里使用阿里云镜像加速器
# vim /etc/containers/registries.conf
#unqualified-search-registries = ["registry.fedoraproject.org", "registry.access.redhat.com", "registry.centos.org", "docker.io"] #直接注释掉
unqualified-search-registries = ["docker.io"]
[[registry]]
prefix = "docker.io"
location = "4m5zh7yl.mirror.aliyuncs.com"(不用加https:// 直接加地址)
常用命令
#容器
podman run 创建并启动容器
podman start 启动容器
podman ps 查看容器
podman stop 终止容器
podman restart 重启容器
podman attach 进入容器
podman exec 进入容器
podman export 导出容器
podman import 导入容器快照
podman rm 删除容器
podman logs 查看日志
#镜像
podman search 检索镜像
podman pull 获取镜像
podman images 列出镜像
podman image ls 列出镜像
podman rmi 删除镜像
podman image rm 删除镜像
podman save 导出镜像
podman load 导入镜像
podmanfile 定制镜像(三个)
podman build 构建镜像
podman run 运行镜像
podmanfile 常用指令(四个)
COPY 复制文件
ADD 高级复制
CMD 容器启动命令
ENV 环境变量
EXPOSE 暴露端口
拉取一个镜像
# podman pull busybox
Resolved "busybox" as an alias (/etc/containers/registries.conf.d/000-shortnames.conf)
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob 5cc84ad355aa done
Copying config beae173cca done
Writing manifest to image destination
Storing signatures
beae173ccac6ad749f76713cf4440fe3d21d1043fe616dfbe30775815d1d0f6a
运行一个容器
# podman run -d --name httpd docker.io/library/httpd
Trying to pull docker.io/library/httpd:latest...
Getting image source signatures
Copying blob dcc4698797c8 done
Copying blob d982c879c57e done
Copying blob 67283bbdd4a0 done
Copying blob a2abf6c4d29d done
Copying blob 41c22baa66ec done
Copying config dabbfbe0c5 done
Writing manifest to image destination
Storing signatures
405e71c15c0b0c0090d63b1cc401396a2ff977694eb845f95c7a0b2706fb0700
查看镜像
# podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/busybox latest beae173ccac6 4 months ago 1.46 MB
docker.io/library/httpd latest dabbfbe0c57b 4 months ago 148 MB
查看容器
# podman ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
405e71c15c0b docker.io/library/httpd:latest httpd-foreground About a minute ago Up About a minute ago httpd
检查正在运行的容器
# podman inspect -l | grep -i address
"IPAddress": "10.88.0.2",
"GlobalIPv6Address": "",
"MacAddress": "32:4f:46:23:b3:e5",
"LinkLocalIPv6Address": "",
"IPAddress": "10.88.0.2",
"GlobalIPv6Address": "",
"MacAddress": "32:4f:46:23:b3:e5",
curl 10.88.0.2
<html><body><h1>It works!</h1></body></html>
#注意:-l 是最新容器的便利参数。您还可以使用容器的 ID 代替 -l
查看一个运行中容器的日志
# podman logs -l
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.88.0.2. Set the 'ServerName' directive globally to suppress this message
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.88.0.2. Set the 'ServerName' directive globally to suppress this message
[Mon May 09 07:58:07.203367 2022] [mpm_event:notice] [pid 1:tid 140261531786560] AH00489: Apache/2.4.52 (Unix) configured -- resuming normal operations
[Mon May 09 07:58:07.203756 2022] [core:notice] [pid 1:tid 140261531786560] AH00094: Command line: 'httpd -D FOREGROUND'
10.88.0.1 - - [09/May/2022:08:04:04 +0000] "GET / HTTP/1.1" 200 45
查看一个运行容器中的进程资源使用情况
#可以使用top观察容器中的 nginx pid
# podman top httpd
USER PID PPID %CPU ELAPSED TTY TIME COMMAND
root 1 0 0.000 10m7.796223736s ? 0s httpd -DFOREGROUND
www-data 7 1 0.000 10m7.796459661s ? 0s httpd -DFOREGROUND
www-data 8 1 0.000 10m7.796644111s ? 0s httpd -DFOREGROUND
www-data 9 1 0.000 10m7.796848031s ? 0s httpd -DFOREGROUND
停止一个运行中的容器
# podman stop -l
pd405e71c15c0b0c0090d63b1cc401396a2ff977694eb845f95c7a0b2706fb0700
# podman ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
405e71c15c0b docker.io/library/httpd:latest httpd-foreground 15 minutes ago Exited (0) 9 seconds ago httpd
删除一个容器
# podman rm -l
405e71c15c0b0c0090d63b1cc401396a2ff977694eb845f95c7a0b2706fb0700
# podman ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
配置别名
# echo "alias docker=podman" >> .bashrc
# alias
alias cp='cp -i'
alias docker='podman'
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/busybox latest beae173ccac6 4 months ago 1.46 MB
docker.io/library/httpd latest dabbfbe0c57b 4 months ago 148 MB
podmanfile 制作镜像并上传
#mkdir test
# cd test/
# vim Podmanfile
FROM busybox
ENV a 10
# podman build -f Podmanfile -t test:0.1 .
//作镜像的时候 默认值为podman build Dockerfile 也可以指定podman build -f Podmanfile
STEP 1/2: FROM busybox
STEP 2/2: ENV a 10
COMMIT test:0.1
--> e4f617bd235
Successfully tagged localhost/test:0.1
e4f617bd235448fd7c4efbf628336f167211b3297eaa30b66a1824cdf9129ef7
# podman run -it test:0.1 /bin/sh
/ # echo $a
10
/ # exit
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
localhost/test 0.1 e4f617bd2354 4 minutes ago 1.46 MB
docker.io/library/busybox latest beae173ccac6 4 months ago 1.46 MB
docker.io/library/httpd latest dabbfbe0c57b 4 months ago 148 MB
# podman tag localhost/test:0.1 docker.io/xyx1136666/busybox:5.9
# podman login docker.io
Username: xyx1136666
Password:
Login Succeeded!
# podman push docker.io/xyx1136666/busybox:5.9
Getting image source signatures
Copying blob 01fd6df81c8e done
Copying config e4f617bd23 done
Writing manifest to image destination
Storing signatures
用户操作
podman允许没有root特权的用户运行Podman,在此之前,管理员必须安装或构建Podman并完成以下配置。
基础配置
- cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。
[root@rookie ~]# dnf -y install crun
[root@rookie ~]# cd /usr/share/containers/
[root@rookie containers]# vim containers.conf
runtime = "crun"
#runtime = "runc"
//取消注释crun行 并注释runc 行
[root@rookie containers]# podman inspect -l |grep -i runtime
"OCIRuntime": "crun",
"--runtime",
"Runtime": "oci",
"CpuRealtimeRuntime": 0,
- 安装slirp4netns和fuse-overlayfs
在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。
[root@rookie ~]# dnf -y install slirp4netns
[root@rookie ~]# dnf -y install fuse-overlayfs
[root@rookie ~]# vi /etc/containers/storage.conf
77 mount_program = "/usr/bin/fuse-overlayfs" #此行取消注释
- /etc/subuid和/etc/subgid配置
Podman要求运行它的用户在/etc/subuid和/etc/subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件
[root@rookie ~]# dnf -y install shadow-utils
可以在/etc/subuid和/etc/subgid查看,每个用户的值必须唯一且没有任何重叠。
[root@rookie ~]# useradd xiaoxie
[root@rookie ~]# useradd xiaoxin
[root@rookie ~]# cat /etc/subuid
xiaoxie:100000:65536
xiaoxin:165536:65536
# 启动非特权ping
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ping_group_range=0 200000 #加上此行
#验证
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000
这个文件的格式是 USERNAME:UID:RANGE
中/etc/passwd或输出中列出的用户名getpwent。
- 为用户分配的初始 UID。
- 为用户分配的 UID 范围的大小。
该usermod程序可用于为用户分配 UID 和 GID,而不是直接更新文件。
[root@localhost ~]# usermod --add-subuids 200000-201000 --add-subgids 200000-201000 hh
grep hh /etc/subuid /etc/subgid
/etc/subuid:hh:200000:1001
/etc/subgid:hh:200000:1001
- 用户配置文件
- 三个主要的配置文件是container.conf、storage.conf和registries.conf。用户可以根据需要修改这些文件。
①container.conf
# 用户配置文件
[root@localhost ~]# cat /usr/share/containers/containers.conf
[root@localhost ~]# cat /etc/containers/containers.conf
[root@localhost ~]# cat ~/.config/containers/containers.conf //优先级最高
②storage.conf
1./etc/containers/storage.conf
2.$HOME/.config/containers/storage.conf
#在普通用户中/etc/containers/storage.conf的一些字段将被忽略
[root@localhost ~]# vi /etc/containers/storage.conf
[storage]
# Default Storage Driver, Must be set for proper operation.
driver = "overlay" #此处改为overlay
.......
mount_program = "/usr/bin/fuse-overlayfs" #取消注释
[root@localhost ~]# sysctl user.max_user_namespaces=15000 #如果版本为8以下,则需要做以下操作:
[root@localhost containers]# sysctl -p
net.ipv4.ping_group_range = 0 200000
user.max_user_namespaces = 15000
#在普通用户中这些字段默认
graphroot="$HOME/.local/share/containers/storage"
runroot="$XDG_RUNTIME_DIR/containers"
③registries.conf
配置按此顺序读入,这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改。
/etc/containers/registries.conf
/etc/containers/registries.d/*
.HOME/.config/containers/registries.con
授权文件
- 此文件里面写了docker账号的密码,以加密方式显示
[root@localhost ~]# podman login
Username: 1314444
Password:
Login Succeeded!
[root@localhost ~]# cat /run/user/0/containers/auth.json
{
"auths": {
"registry.fedoraproject.org": {
"auth": "MTMxNDQ0NDpIMjAxNy0xOA=="
}
}
}
- 普通用户是无法看见root用户的镜像的
[xiaoying@localhost ~]$ podman pull busybox
Resolved "busybox" as an alias (/etc/containers/registries.conf.d/000-shortnames.conf)
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob 5cc84ad355aa done
Copying config beae173cca done
Writing manifest to image destination
Storing signatures
beae173ccac6ad749f76713cf4440fe3d21d1043fe616dfbe30775815d1d0f6a
[xiaoying@localhost ~]$ podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/busybox latest beae173ccac6 4 months ago 1.46 MB
[xiaoying@localhost ~]$ podman run -it --rm busybox /bin/sh
/ #
//xiaoying用户创建镜像容器
[root@localhost ~]# podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
3014a85ad421 docker.io/library/httpd:latest httpd-foreground 32 minutes ago Up 32 minutes ago great_mahavira
//切换到root用户查不出xioaying用户创建的容器
卷
- 容器与root用户一起运行,则root容器中的用户实际上就是主机上的用户。
- UID GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID GID。
- 如果普通用户的身份从主机目录挂载到容器中,并在该目录中以根用户身份创建文件,则会看到它实际上是你的用户在主机上拥有的。
使用卷
[xiaoying@localhost ~]$ podman ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
[xiaoying@localhost ~]$ ls
[xiaoying@localhost ~]$ mkdir data
[xiaoying@localhost ~]$ ls
data
[xiaoying@localhost ~]$ ll
total 0
drwxrwxr-x. 2 xiaoying xiaoying 6 May 9 17:55 data
[xiaoying@localhost ~]$ pwd
/home/xiaoying
[xiaoying@localhost ~]$ podman run -it --rm -v "$(pwd)"/data:/data:Z busybox /bin/sh
/ # ls
bin data dev etc home proc root run sys tmp usr var
/ # cd data/
/data # ls
/data #
//加上-Z就可以有权限查看
[xiaoying@localhost ~]$ echo 'hello world' > data/abc
//容器外创建文件内容
/data # cat abc
hello world
//去容器里查看
普通用户可以映射>= 1024的端口
[xiaoying@localhost ~]$ podman run -d --name web1 -p 80:80 httpd
eaca84d0e2cc21634d5b28e81f5fe25efbbeeb89c74e1ed05fd0645a8d1c8236
[xiaoying@localhost ~]$ podman ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
eaca84d0e2cc docker.io/library/httpd:latest httpd-foreground 2 minutes ago Up 2 minutes ago 0.0.0.0:80->80/tcp web1
配置echo ‘net.ipv4.ip_unprivileged_port_start=80’ >> /etc/sysctl.conf后可以映射大于等于80的端口
[xiaoxin@localhost ~]$ podman run -d -p 1024:80 httpd
[root@localhost ~]# echo 'net.ipv4.ip_unprivileged_port_start=80' >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000
user.max_user_namespaces = 15000
net.ipv4.ip_unprivileged_port_start = 80
[xiaoxin@localhost ~]$ podman run -d -p 80:80 httpd
4c327d55182ef362547f7baa87449822d98a95013442aa9e107c577250e8e460
[xiaoxin@localhost ~]$ ss -anlt
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 *:1024 *:*
LISTEN 0 128 *:80 *:*
LISTEN 0 128 [::]:22 [::]:*