podman

最新推荐文章于 2023-12-28 19:19:19 发布
最新推荐文章于 2023-12-28 19:19:19 发布
阅读量134 收藏
点赞数
文章标签: docker linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TNTsdant/article/details/126352295
版权

podman

文章目录

使用podman

使用 Podman 非常的简单,Podman 的指令跟 Docker 大多数都是相同的。下面我们来看几个常用的例子:

查看镜像

[root@localhost ~]# podman images
REPOSITORY                 TAG         IMAGE ID      CREATED        SIZE
docker.io/library/busybox  latest      7a80323521cc  2 weeks ago    1.47 MB
docker.io/library/httpd    latest      dabbfbe0c57b  7 months ago   148 MB
quay.io/centos/centos      latest      300e315adb2f  20 months ago  217 MB

创建容器

[root@localhost ~]# podman run -dit --name tnt httpd
58dd64754c15eb2d28f7d95279065f648778b2d798ca16a1fd4bb1a8ed8a7aa8

查看运行容器

[root@localhost ~]# podman ps
CONTAINER ID  IMAGE                           COMMAND           CREATED         STATUS             PORTS       NAMES
58dd64754c15  docker.io/library/httpd:latest  httpd-foreground  54 seconds ago  Up 53 seconds ago              tnt

注意:如果在ps命令中添加-a,Podman 将显示所有容器。

检查正在运行的容器

您可以“检查”正在运行的容器的元数据和有关其自身的详细信息。我们甚至可以使用 inspect 子命令查看分配给容器的 IP 地址。由于容器以无根模式运行,因此未分配 IP 地址,并且该值将在检查的输出中列为“无”

[root@localhost ~]# podman inspect -l |grep -i address
            "IPAddress": "10.88.0.2",
            "GlobalIPv6Address": "",
            "MacAddress": "12:39:5a:b4:87:92",
            "LinkLocalIPv6Address": "",
                    "IPAddress": "10.88.0.2",
                    "GlobalIPv6Address": "",
                    "MacAddress": "12:39:5a:b4:87:92",


[root@localhost ~]# curl 10.88.0.2
<html><body><h1>It works!</h1></body></html>

注意:-l 是最新容器的便利参数。您还可以使用容器的 ID 代替 -l

查看一个运行容器中的进程资源使用情况,可以使用top观察容器中的 nginx pid

[root@localhost ~]# podman top tnt
USER        PID         PPID        %CPU        ELAPSED          TTY         TIME        COMMAND
root        1           0           0.000       8m58.057603378s  pts/0       0s          httpd -DFOREGROUND 
www-data    7           1           0.000       8m58.058007778s  pts/0       0s          httpd -DFOREGROUND 
www-data    8           1           0.000       8m58.058235479s  pts/0       0s          httpd -DFOREGROUND 
www-data    9           1           0.000       8m58.058346079s  pts/0       0s          httpd -DFOREGROUND

停止一个运行中的容器

[root@localhost ~]# podman stop -l
58dd64754c15eb2d28f7d95279065f648778b2d798ca16a1fd4bb1a8ed8a7aa8
[root@localhost ~]# podman ps
CONTAINER ID  IMAGE       COMMAND     CREATED     STATUS      PORTS       NAMES

删除一个容器

[root@localhost ~]# podman rm -l
58dd64754c15eb2d28f7d95279065f648778b2d798ca16a1fd4bb1a8ed8a7aa8
[root@localhost ~]# podman ps -a
CONTAINER ID  IMAGE       COMMAND     CREATED     STATUS      PORTS       NAMES

用户操作

在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置

cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。

[root@localhost ~]# yum install -y crun

[root@localhost ~]# vim /usr/share/containers/containers.conf 

# Default OCI runtime
#
runtime = "crun"
#runtime = "runc"
取消runtime 注释 改crun
下面一行注释

[root@localhost ~]# podman run -d --name mjq httpd
64f52f72c757de9be46e0a5b9c0608cec0cddbdd7a842d87392742fd8084a985
[root@localhost ~]# podman inspect -l | grep crun
        "OCIRuntime": "crun",
            "crun",

安装slirp4netns和fuse-overlayfs

在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。

[root@localhost ~]# yum -y install -y slirp4netns
[root@localhost ~]# yum install -y fuse-overlayfs
[root@localhost ~]# vim /etc/containers/storage.conf 
mount_program = "/usr/bin/fuse-overlayfs"
取消注释

etc / subuid和/ etc / subgid配置

Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件

[root@localhost ~]# useradd aa
[root@localhost ~]# cat /etc/subuid
aa:100000:65536
[root@localhost ~]# cat /etc/subgid
aa:100000:65536

[root@localhost ~]# vim /etc/sysctl.conf
在最后一行添加
net.ipv4.ping_group_range=0 200000
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000

这个文件的格式是 USERNAME:UID:RANGE中/etc/passwd或输出中列出的用户名getpwent。

为用户分配的初始 UID。
为用户分配的 UID 范围的大小。
该usermod程序可用于为用户分配 UID 和 GID,而不是直接更新文件。


[root@localhost ~]# usermod --add-subuids 200000-201000 --add-subgids 200000-201000 aa
[root@localhost ~]# cat/etc/subuid
-bash: cat/etc/subuid: No such file or directory
[root@localhost ~]# cat /etc/subuid
aa:100000:65536
bb:165536:65536
aa:200000:1001

在普通用户中/etc/containers/storage.conf的一些字段将被忽略

[root@localhost ~]#  vim /etc/containers/storage.conf
[storage]

# Default Storage Driver, Must be set for proper operation.
driver = "overlay"    此处改为overlay

mount_program = "/usr/bin/fuse-overlayfs"    取消注释


[root@localhost ~]# vim /etc/sysctl.conf
添加下面一行
user.max_user_namespaces=15000

[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000
user.max_user_namespaces = 15000

在普通用户中这些字段默认

graphroot="$HOME/.local/share/containers/storage"
runroot="$XDG_RUNTIME_DIR/containers"

registries.conf

配置按此顺序读入,这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改

1./etc/containers/registries.conf
2./etc/containers/registries.d/*
3.HOME/.config/containers/registries.conf

授权文件

此文件里面写了docker账号的密码,以加密方式显示

[root@localhost ~]# podman login
Username: gbj1123
Password: 
Login Succeeded!
[root@localhost ~]# cat /run/user/0/containers/auth.json
{
	"auths": {
		"docker.io": {
			"auth": "Z2JqMTEyMzpzZHNudDExMjM="
		}
	}

普通用户是无法看见root用户的镜像的

[root@localhost ~]# podman images
REPOSITORY                 TAG         IMAGE ID      CREATED        SIZE
docker.io/library/busybox  latest      7a80323521cc  2 weeks ago    1.47 MB
docker.io/library/httpd    latest      dabbfbe0c57b  7 months ago   148 MB
quay.io/centos/centos      latest      300e315adb2f  20 months ago  217 MB


[root@localhost ~]# su - aa
[aa@localhost ~]$ podman images
REPOSITORY  TAG         IMAGE ID    CREATED     SIZE

容器与root用户一起运行,则root容器中的用户实际上就是主机上的用户。
UID GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID GID。
如果普通用户的身份从主机目录挂载到容器中,并在该目录中以根用户身份创建文件,则会看到它实际上是你的用户在主机上拥有的

使用卷

[aa@localhost ~]$ mkdir /home/aa/data
[aa@localhost ~]$ ls
data
[aa@localhost ~]$ podman run -it -v $(pwd)/data:/data busybox /bin/sh
Resolved "busybox" as an alias (/etc/containers/registries.conf.d/000-shortnames.conf)
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob 50783e0dfb64 done  
Copying config 7a80323521 done  
Writing manifest to image destination
Storing signatures
/ # ls
bin   dev   home  root  sys   usr
data  etc   proc  run   tmp   var
/ # cd data
/data # ls
ls: can't open '.': Permission denied

添加Z
[aa@localhost ~]$ podman run -it -v $(pwd)/data:/data:Z busybox /bin/sh
/ # cd data
/data # ls
/data # touch 1 2 3
/data # ls
1  2  3

/data # ls -l
total 0
-rw-r--r--    1 root     root             0 Aug 15 08:47 1
-rw-r--r--    1 root     root             0 Aug 15 08:47 2
-rw-r--r--    1 root     root             0 Aug 15 08:47 3

在主机上查看

[aa@localhost ~]$ ll data
total 0
-rw-r--r--. 1 aa aa 0 Aug 15 16:47 1
-rw-r--r--. 1 aa aa 0 Aug 15 16:47 2
-rw-r--r--. 1 aa aa 0 Aug 15 16:47 3
[aa@localhost ~]$ echo "tnt" >> 1
[aa@localhost ~]$ cat 1
tnt

容器里查看

/data # cat 1
tnt
我们可以发现在容器里面的文件的属主和属组都属于root,那么如何才能让其属于tom用户呢?下面告诉你答案
只要在运行容器的时候加上一个--userns=keep-id即可。
[aa@localhost ~]$ podman run -it -v $(pwd)/data:/data:Z --userns=keep-id busybox /bin/sh
~ $ ls
bin   dev   home  root  sys   usr
data  etc   proc  run   tmp   var
~ $ cd data
/data $ ll
/bin/sh: ll: not found
/data $ touch e
/data $ ls -l
total 4
-rw-rw-r--    1 aa       aa               4 Aug 15 08:56 1
-rw-rw-r--    1 aa       aa               0 Aug 15 08:55 2
-rw-rw-r--    1 aa       aa               0 Aug 15 08:55 3
-rw-r--r--    1 aa       aa               0 Aug 15 09:03 e

使用普通用户映射容器端口时会报“ permission denied”的错误


[aa@localhost ~]$ podman run -d -p 80:80 busybox
Error: rootlessport cannot expose privileged port 80, you can add 'net.ipv4.ip_unprivileged_port_start=80' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024): listen tcp 0.0.0.0:80: bind: permission denied

普通用户可以映射>= 1024的端口

[aa@localhost ~]$ podman run -d -p 1025:80 busybox
a062aa367824df0247d7be74df38a9fa5ee1d9b4cc728c8f05f8c4be97de6b4d
[aa@localhost ~]$ ss -anlt
LISTEN      0           128                    0.0.0.0:22                  0.0.0.0:*                      
LISTEN      0           128                          *:1025                      *:*                      
LISTEN      0           128                       [::]:22                     [::]:*

配置echo ‘net.ipv4.ip_unprivileged_port_start=80’ >> /etc/sysctl.conf后可以映射大于等于80的端口

[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_unprivileged_port_start=80  添加
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000
user.max_user_namespaces = 15000
net.ipv4.ip_unprivileged_port_start = 80
[aa@localhost ~]$ ss -antl
State  Recv-Q Send-Q Local Address:Port   Peer Address:Port Process 
LISTEN 0      128          0.0.0.0:22          0.0.0.0:*            
LISTEN 0      128                *:1024              *:*            
LISTEN 0      128             [::]:22             [::]:*            
[aa@localhost ~]$ 
[aa@localhost ~]$ podman run -d -p 80:80 httpd
9817398745bc619ca9f62feaf717b74f633c73c5590ad8ee2229f16d8d797aaa
[aa@localhost ~]$ ss -antl
State  Recv-Q Send-Q Local Address:Port   Peer Address:Port Process 
LISTEN 0      128          0.0.0.0:22          0.0.0.0:*            
LISTEN 0      128                *:1024              *:*            
LISTEN 0      128                *:80                *:*            
LISTEN 0      128             [::]:22             [::]:*
TNTsdant
关注
【云原生进阶之容器】第五章容器运行时5.1节--容器运行时总述
junbaozi的专栏
01-16 1114
容器运行时接口(CRI),顾名思义,用来在 Kubernetes 扩展容器运行时,从而用户可以选择自己喜欢的容器引擎。CRI 是基于 gPRC 的,用户不需要关心内部通信逻辑,而只需要实现定义的接口就可以,包括RuntimeService和ImageService: RuntimeService负责管理Pod和容器的生命周期,而ImageService负责镜像的生命周期管理。CRI 的推出为容器社区带来了新的繁荣,cri-o、frakti、cri-containerd 等一系列容器运行时为不同场景而生。
K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-10 1万+
🔴 K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
Podman(续)
weixin_72898853的博客
08-15 558
Podman(续)
podman pull或者push http镜像遇到http: server gave HTTP response to HTTPS client
poxiaomeng187的博客
04-23 1654
vi /etc/containers/registries.conf #增加以下配置 [[registry]] location = "192.168.240.99:5000" #你的仓库地址 insecure = true #允许http。原因:Docker自从1.3.X之后docker registry交互默认使用的是HTTPS,但是搭建私有镜像默认使用的是HTTP服务,所以与私有镜像交时出现以上错误。tips:配置文件有两种版本格式,v1和v2,两种格式的配置不能混用,混用会提示错误。
CentOS8使用podman常见错误解决
热门推荐
一个80后IT之路
04-25 2万+
使用rootless用户pull ubuntu镜像,竟然报这种错误。 发现错误: [javadm@instance-2 ~]$ docker pull ubuntu ERRO[0000] cannot find mappings for user javadm: No subuid ranges found for user "javadm" in /etc/subuid ERRO[0000] c...
podman报错Error: could not get runtime: default OCI runtime “runc“ not found: invalid argument
weixin_39990025的博客
12-28 1186
podman报错Error: could not get runtime: default OCI runtime "runc" not found: invalid argument
signature=a000d6fcb8c03e41e14d4f62e4df6e00,CentOS8使用podman常见错误解决
weixin_42529366的博客
05-29 1364
podman常见错误解决1.podman 遇到there might not be enough IDs available in the namespace1.1发现错误:1.2解决问题:1.3总结问题2.podman pull或者push http镜像遇到http: server gave HTTP response to HTTPS client2.1发现错误2.2解决错误2.3总结错误3....
podman容器基础
馆主的博客
08-13 763
Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。......
ansible-role-podman:安装podman和运行容器的角色
05-28
旨在作为服务运行的Podman容器是相对同类的。 因此,此角色提供了一个变量,该变量可用于将容器部署和配置为SystemD服务。 尚不支持将多个容器配置为Pod等更复杂的用例。 要将此功能用于主机,请定义变量podman_...
pod提示拉取镜像失败
wangerzheng
10-26 1446
问题: docker pull正常,但创建pod一直提示镜像拉取不下来; 解: 1、缺少secret 2、拉取本地镜像,用本地镜像去起pod imagePullPolicy: IfNotPresent Always总是拉取镜像 IfNotPresent本地有则使用本地镜像,不拉取 Never只使用本地镜像,从不拉取,及时本地没有 如果缺省imagePullPolicy,策略为always ...
Podman
weixin_52047259的博客
05-09 354
Podman 1.Podman的工作原理 Podman 原来是 CRI-O 项目的一部分,后来被分离成一个单独的项目叫 libpod。Podman 的使用体验和 Docker 类似,不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候,Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」,然后 Docker Engine 才会通过 OCI Container runtime(默认是 runc)来启动一个容器。这就意味着容器的进
RHCSA notes
m0_46445748的博客
01-27 187
rhel8 rhcsa
解决Docker报错:oci runtime error: container_linux.go:235: starting container process caused "process_lin
渔闻520的博客
09-05 2万+
docker是通过 yuminstalldocker安装的,搜了一把,原来是因为linuxdocker版本的兼容性问题。那就卸载旧版本安装最新版试试。 0.通过uname -r命令查看你当前的内核版本 uname-r 1.使用root权限登录 Centos。确保 yum 包更新到最新。 sudoyumupdate 2.卸载旧版本(如果安装过旧版本的话) sudo...
深入理解nginx读书笔记---初识nginx
qq_36713450的博客
12-06 743
Why nginx? 1、更快 一方面,正常情况下,单次请求会得到更快的响应;另一方面,在高峰期nginx会比其他代理响应更迅速。 2、高扩展性 Nginx的设计极具扩展性,它完全是由多个不同功能、不同层次、不同类型且耦合度极低的模块组成。低耦合的特点造就了nginx大量的第三方模块,且都是通过嵌入到二进制文件中执行的,都具备优秀的性能。 3、高可靠性 依赖于nginx核心代码的优秀设计、模块设计的简单性;每一个worker进程都相对独立,出错后可以马上另外拉起一个。 4、低内存消耗 一般情
Podman应用
weixin_57691077的博客
08-13 443
Podman使用 拉取镜像 [root@localhost ~]# podman pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting image source signatures Copying blob c90b090c213b done Co
解决 Ubuntu 16.04.4普通用户无法监听udp 443
Kason_iWiki
09-14 2319
linux对于非root权限用户不能使用1024以下的端口,对于一些服务,过高的权限,会带来一定的风险。(例如80、443)方案:设置port_startlinux 允许非 root 用户默认只能使用 1024 以上端口,sysctl 可以修改该起始端口。
k3s 快速入门 - 集群搭建
蜗牛的专栏
08-17 5276
K3s 是一个轻量级的 Kubernetes 发行版,它针对边缘计算、物联网等场景进行了高度优化
linux安装软件源
king_26852的博客
02-25 587
vi /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ bionic-updates main.
podman的运行时
09-27
与传统的Docker容器运行时不同,Podman无需依赖Docker守护进程,可以在不同的Linux发行版中独立运行。它具有以下特点和功能: 1. 安全性提升:与Docker相比,Podman可以在rootless模式下运行,这提高了容器的安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值