docker時代落幕，podman開啟容器技術(shù)新劇場

一、什么是Podman與OCI

Podman是一個無守護進程、開源的原生容器工具，旨在基于 Open Containers Initiative ( OCI )組織及規(guī)范，讓鏡像容器能夠輕松查找、運行、構(gòu)建、共享和部署應用程序。

提到podman就不能不說說OCI，這個組織有點意思。Docker容器技術(shù)出現(xiàn)并且迅速風靡全球，為傳統(tǒng)的持續(xù)集成與持續(xù)發(fā)布領(lǐng)域帶來了革命性的變化。 這個時候各個大佬們（谷歌，Redhat、微軟、IBM、Intel、思科）就有點坐不住了，大家一起喝喝茶聊聊天就決定要成立一個新的組織：OCI。這個組織成立的目的很明顯，就是要防止容器技術(shù)被docker一家壟斷。docker方面雖然心不甘、情不愿，但是也沒有什么太好的辦法，也加入了該組織，畢竟胳膊擰不過大腿。另外還有以下幾個原因

docker的容器概念和設計很新穎，但是底層實現(xiàn)并不是什么高精尖的技術(shù)，很容易被模仿。

docker方面希望被推廣使用，離不開大佬們的支持。

docker本身還存在幾個硬傷，確實容易被超越和追趕。

有的朋友說podman是docker運行、構(gòu)建、共享的輔助工具，這么說并不正確哈，podman目前的發(fā)展其本身就是一種獨立的容器技術(shù)，其運行時環(huán)境不依賴于docker。

二、docker有什么硬傷？

硬傷一：docker存在一個名為dockerd 的進程，會占用比較多的CPU資源。同時一個dockerd守護進程還可能導致單點故障的問題，該守護進程掛掉了，容器也就無法正常提供服務。

硬傷二：docker守護進程以root用戶運行，這給操作系統(tǒng)的安全性和容器安全性帶來了非常大的挑戰(zhàn)。

然而Podman 不需要以 root 身份運行的守護進程，Podman 容器的運行權(quán)限與啟動它們的linux用戶相同，這解決了一個重大的安全問題。Podman 是一個無守護進程的容器引擎，并且Podman 不需要守護進程來啟動和管理容器。這是兩個開源項目之間的一個最重要區(qū)別。這也是筆者看好podman未來會代替docker成為主流容器技術(shù)的核心原因。

三、從docker過度到podman非常easy

如果你使用過docker的CLI命令行，podman幾乎沒有任何的區(qū)別，只需要把docker換成podman即可，參數(shù)順序、含義都是一樣的。如：

docker pull nginx 換成 podman pull nginx 即可

1

2

3

4

如果你不想將docker命令換成podman，因為這樣需要修改以往的腳本。也可以通過映射命令alias docker=podman來實現(xiàn)，這樣就可以無縫的將docker遷移到podman環(huán)境下使用。

另外容器鏡像格式方面在 Docker 和 Podman 之間也是完全兼容的。所以現(xiàn)有的鏡像，不論是docker官方鏡像，還是我們以往自己構(gòu)建的docker鏡像，都可以在podman環(huán)境下使用。

四、上手podman

4.1.安裝

下面我們就來簡單的搞一搞，在CentOS操作系統(tǒng)可以直接使用yum命令安裝podman。事先說明的是我這個是一臺新的最小化安裝的CentOS7虛擬機，并不包含docker，也不曾安裝。

yum -y install podman # root用戶安裝

1

查看版本

# podman version Version: 1.6.4 RemoteAPI Version: 1 Go Version: go1.12.12 OS/Arch: linux/amd64

1

2

3

4

5

新建podman用戶，后續(xù)使用該用戶運行容器。

adduser podman # root用戶新建podman用戶

1

4.2.CentOS7環(huán)境下需要做的特殊處理

出于上文中所說的安全性考慮，我們不使用root用戶操作鏡像及容器。所以需要做如下的一些配置。

如果你使用CentOS7，需要做如下的一些特殊處理。其他的操作系統(tǒng)可能需要不同的解決方案，這些解決方案基本大同小異。

如果你使用root用戶運行鏡像容器，這些特殊處理就不需要做，直接就可以用

CentOS7默認關(guān)閉用戶namespace，將它打開

echo 10000 > /proc/sys/user/max_user_namespaces; grubby --args="user_namespace.enable=1" --update-kernel="$(grubby --default-kernel)"; echo "user.max_user_namespaces=10000" >> /etc/sysctl.conf;

1

2

3

4.3. 配置非root用戶id及組id范圍

嘗試在linux宿主機操作系統(tǒng)新建用戶podman用戶環(huán)境下執(zhí)行nginx鏡像拉取

su - podman # 切換用戶為podman podman pull docker.io/library/nginx # 執(zhí)行拉取鏡像

1

2

如果你有如下的報錯信息

ERRO[0000] cannot find mappings for user podman: No subuid ranges found for user "podman" in /etc/subuid

1

或者如下報錯信息

Error processing tar file(exit status 1): there might not be enough IDs available in the namespace

1

請退出podman用戶切換回到root用戶（exit命令），執(zhí)行下列命令，podman為運行容器的一個非root用戶

echo "podman:100000:65536" >> /etc/subuid echo "podman:100000:65536" >> /etc/subgid

1

2

這段配置的作用就是設置一個容器內(nèi)的操作系統(tǒng)與宿主機操作系統(tǒng)用戶的uid、gid之間的映射關(guān)系。如上所示 100000 - 165535(100000 + 65535) 在宿主機的id就映射到容器內(nèi)的 0-65535的用戶。配置完之后執(zhí)行如下命令

podman system migrate

1

官方解釋上面的命令可以讓配置生效，但是不知道什么原因，筆者執(zhí)行該命令配置并未生效，而是重啟了一下操作系統(tǒng)才生效。

五、在非root用戶下容器鏡像的使用

同樣的先把root切換到宿主機的podman用戶

su - podman

1

拉取鏡像命令

$ podman pull docker.io/library/nginx Trying to pull docker.io/library/nginx... Getting image source signatures Copying blob 1ae07ab881bd done Copying blob 091c283c6a66 done Copying blob 78091884b7be done Copying blob 5eb5b503b376 done Copying blob b559bad762be done Copying blob 55de5851019b done Copying config c316d5a335 done Writing manifest to image destination Storing signatures c316d5a335a5cf324b0dc83b3da82d7608724769f6454f6d9a621f3ec2534a5a

1

2

3

4

5

6

7

8

9

10

11

12

13

14

查看鏡像列表（在x用戶下拉取的鏡像，在y用戶下是查看不到的）

$ podman images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/library/nginx latest c316d5a335a5 2 weeks ago 146 MB

1

2

3

運行容器鏡像

podman run -p 8080:80 -d docker.io/library/nginx

1

其他的命令就不一一的列舉了，和docker命令運行方式是一模一樣的，參數(shù)順序、名稱也是一摸一樣的。

總結(jié)

在單機環(huán)境下docker可以無縫的切換到podman環(huán)境，對docker-swarm或dcoker-compose支持需要驗證，但筆者幾乎從來不用這兩個東西，所以暫時沒有驗證的動力。至于與k8s的兼容性，我想這是一定的，而且會越來越好，因為OCI組織的首席大佬就是谷歌，不可能不支持自己的產(chǎn)品之間的兼容性。

如果你使用root用戶操作podman容器，與docker幾乎是一模一樣的，甚至連命令行都不需要改。但是我們用podman代替docker的主要原因我想就是使用非root用戶，來提升容器安全性。所以不同的操作系統(tǒng)及版本需要針對非root用戶的權(quán)限做一些額外配置，從而來滿足使用要求。

Docker 容器

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。