使用 Podman
Podman用法
使用 Podman 非常的简单,Podman 的指令跟 Docker 大多数都是相同的。下面我们来看几个常用的例子:
运行一个容器
[root@localhost ~]# podman run -d --name haha busybox
258d78fda774682bbe3bda4cacbe5a2d2fedaea3bb276734357f3bcbf7af7c6e
//查看镜像
[root@localhost ~]# podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/busybox latest 7a80323521cc 2 weeks ago 1.47 MB
[root@localhost ~]#
列出运行的容器
[root@localhost ~]# podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
927c7448dc8c docker.io/library/busybox:latest sh 6 seconds ago Up 6 seconds ago haha
注意:如果在ps命令中添加-a,Podman 将显示所有容器。
检查正在运行的容器
您可以“检查”正在运行的容器的元数据和有关其自身的详细信息。我们甚至可以使用 inspect 子命令查看分配给容器的 IP 地址。由于容器以无根模式运行,因此未分配 IP 地址,并且该值将在检查的输出中列为“无”。
[root@localhost ~]# podman inspect haha | grep -i ipaddress
"IPAddress": "10.88.0.4",
"IPAddress": "10.88.0.4",
[root@localhost ~]# curl 10.88.0.4
<html><body><h1>It works!</h1></body></html>
注意:-l 是最新容器的便利参数。您还可以使用容器的 ID 代替 -l。
查看一个运行中容器的日志
选项
--latest #最近的
[[root@localhost ~]# podman logs --latest
/ #
查看一个运行容器中的进程资源使用情况,可以使用top观察容器中的 pid
语法:
podman top <container_id>
root@localhost ~]# podman top haha
USER PID PPID %CPU ELAPSED TTY TIME COMMAND
root 1 0 0.000 11m3.162222192s pts/0 0s sh
root 21 1 0.000 7m46.162391686s ? 0s httpd
[root@localhost ~]#
停止一个运行中的容器
[root@localhost ~]# podman stop -l 或者 podman stop --latest
927c7448dc8cee313ce027ab020915642861593d184c37d7e9501db38d69baaf
[root@localhost ~]# podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
删除一个容器
[root@localhost ~]# podman rm --latest 或者 podman rm -l
927c7448dc8cee313ce027ab020915642861593d184c37d7e9501db38d69baaf
[root@localhost ~]# podman ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
以上这些特性基本上都和 Docker 一样,Podman 除了兼容这些特性外,还支持了一些新的特性。
上传镜像
例如,如果我们想在 http://docker.io 上分享我们新建的 Nginx 容器镜像,这很容易。首先登录码头:
[root@localhost nginx]# tree
.
├── Dockerfile
└── files
└── nginx-1.20.1.tar.gz
[root@localhost nginx]# cat Dockerfile
FROM docker.io/library/centos
ENV PATH /usr/local/nginx/sbin:$PATH
ADD files/nginx-1.20.1.tar.gz /usr/src
RUN useradd -r -M -s /sbin/nologin nginx && \
yum -y install pcre-devel openssl openssl-devel gd-devel gcc gcc-c++ make && \
mkdir -p /var/log/nginx && \
cd /usr/src/nginx-1.20.1 && \
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-debug \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_image_filter_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module \
--http-log-path=/var/log/nginx/access.log \
--error-log-path=/var/log/nginx/error.log && \
make && make install
CMD ["nginx","-g","daemon off"]
[root@localhost nginx]# podman build -t nginx .
// 修改镜像名
[root@localhost ~]# podman tag docker.io/library/nginx:latest docker.io/sb/test:latest
// 登录并上传镜像
[root@localhost ~]# podman login docker.io // 需要告诉其要登录到docker仓库
[root@localhost ~]# podman login docker.io
Username: sb #账户
Password: ******** #密码
Login Succeeded!
[root@localhost nginx]# podman push docker.io/sb/test:latest //上传镜像
Getting image source signatures
Copying blob 38c40d6c2c85 done
Copying blob fee76a531659 done
Copying blob c2adabaecedb done
Copying config 7f3589c0b8 done
Writing manifest to image destination
Copying config 7f3589c0b8 done
Writing manifest to image destination
Storing signatures
//请注意,我们将四层推送到我们的注册表,现在可供其他人共享。快速浏览一下:
[root@localhost ~]# podman inspect sb/test:nginx
//输出:
[
{
"Id": "7f3589c0b8849a9e1ff52ceb0fcea2390e2731db9d1a7358c2f5fad216a48263",
"Digest": "sha256:7822b5ba4c2eaabdd0ff3812277cfafa8a25527d1e234be028ed381a43ad5498",
"RepoTags": [
"docker.io/sb/test:nginx",
......
总而言之,Podman 使查找、运行、构建和共享容器变得容易。
配置别名
如果习惯了使用 Docker 命令,可以直接给 Podman 配置一个别名来实现无缝转移。你只需要在 .bashrc 下加入以下行内容即可:
[root@localhost ~]# echo "alias docker=podman" >> .bashrc
source .bashrc
[root@localhost ~]# alias
alias cp='cp -i'
alias docker='podman'
.......
用户操作
在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置
cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。
[root@localhost ~]# dnf -y install crun //centos8系统自带
上次元数据过期检查:4:55:54 前,执行于 2022年08月14日 星期日 21时42分31秒。
软件包 crun-1.0-1.module_el8.5.0+911+f19012f9.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
[root@localhost ~]# vim /usr/share/containers/containers.conf
# Default OCI runtime
#
runtime = "crun"
#runtime = "runc" //取消注释crun并将runc改为注释
[root@localhost ~]# podman run -dit --name hehe -p 80:80 busybox
000638e45de2e267bac05aac2e5e541eb48502e09a3df378dbb4bea946ca92ab
[root@localhost ~]# podman inspect hehe |grep crun
"OCIRuntime": "crun",
"crun",
[root@localhost ~]#
安装slirp4netns和fuse-overlayfs
在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。
[root@localhost ~]# dnf -y install slirp4netns
上次元数据过期检查:0:01:17 前,执行于 2022年08月15日 星期一 02时46分51秒。
软件包 slirp4netns-1.1.8-1.module_el8.6.0+926+8bef8ae7.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
[root@localhost ~]# dnf -y install fuse-overlayfs
上次元数据过期检查:0:01:44 前,执行于 2022年08月15日 星期一 02时46分51秒。
软件包 fuse-overlayfs-1.7.1-1.module_el8.6.0+926+8bef8ae7.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
[root@localhost ~]# vim /etc/containers/storage.conf
mount_program = "/usr/bin/fuse-overlayfs" //取消注释
/ etc / subuid和/ etc / subgid配置
Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件
[root@localhost ~]# dnf -y install shadow-utils
上次元数据过期检查:0:04:33 前,执行于 2022年08月15日 星期一 02时46分51秒。
软件包 shadow-utils-2:4.6-16.el8.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
可以在/ etc / subuid和/ etc / subgid查看,每个用户的值必须唯一且没有任何重叠。
[root@localhost ~]# useradd sb
[root@localhost ~]# cat /etc/subuid
haha:100000:65536
sb:165536:65536
[root@localhost ~]# cat /etc/subgid
haha:100000:65536
sb:165536:65536
// 启动非特权ping
[root@localhost ~]# vim /etc/sysctl.conf //大于100000这个就表示tom可以操作podman
net.ipv4.ping_group_range = 0 200000
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000
这个文件的格式是 USERNAME:UID:RANGE中/etc/passwd或输出中列出的用户名getpwent。
为用户分配的初始 UID。
为用户分配的 UID 范围的大小。
该usermod程序可用于为用户分配 UID 和 GID,而不是直接更新文件。
[root@localhost ~]# usermod --add-subuids 200000-201000 --add-subgids 200000-201000 sb
[root@localhost ~]# grep sb /etc/subuid /etc/subgid
/etc/subuid:sb:200000:1001
/etc/subgid:sb:200000:1001
用户配置文件
三个主要的配置文件是container.conf、storage.conf和registries.conf。用户可以根据需要修改这些文件。
container.conf
// 用户配置文件
[root@localhost ~]# cat /usr/share/containers/containers.conf
[root@localhost ~]# cat /etc/containers/containers.conf
[root@localhost ~]# cat ~/.config/containers/containers.conf //优先级最高
[root@localhost ~]# find / -name containers.conf
/usr/share/containers/containers.conf
如果它们以该顺序存在。每个文件都可以覆盖特定字段的前一个文件。
配置storage.conf文件
[root@localhost ~]# find / -name storage.conf
/etc/containers/storage.conf
1./etc/containers/storage.conf
2.$HOME/.config/containers/storage.conf
在普通用户中/etc/containers/storage.conf的一些字段将被忽略
[root@localhost ~]# vim /etc/containers/storage.conf
[storage]
# Default Storage Driver, Must be set for proper operation.
driver = "overlay" #此处改为overlay
.......
mount_program = "/usr/bin/fuse-overlayfs" #取消注释
[root@localhost ~]# sysctl user.max_user_namespaces=15000 #如果版本为8以下,则需要做以下操作:
在普通用户中这些字段默认
graphroot="$HOME/.local/share/containers/storage"
runroot="$XDG_RUNTIME_DIR/containers"
registries.conf
配置按此顺序读入,这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改。
[root@localhost ~]# find / -name registries.conf
/etc/containers/registries.conf
1./etc/containers/registries.conf
2./etc/containers/registries.d/*
3.HOME/.config/containers/registries.conf
授权文件
此文件里面写了docker账号的密码,以加密方式显示
[root@localhost ~]# podman login
Username: hzsjxx
Password:
Login Succeeded!
[root@localhost ~]# cat /run/user/0/containers/auth.json
{
"auths": {
"registry.fedoraproject.org": {
"auth": "MQ0NDpIMjAxNy0xOA=TMxND="
}
}
}
普通用户是无法看见root用户的镜像的
//root用户
[root@localhost ~]# podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/busybox latest 7a80323521cc 2 weeks ago 1.47 MB
//普通用户
[root@localhost ~]# su - sb
[sb@localhost ~]$ podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
卷
容器与root用户一起运行,则root容器中的用户实际上就是主机上的用户。
UID GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID GID。
如果普通用户的身份从主机目录挂载到容器中,并在该目录中以根用户身份创建文件,则会看到它实际上是你的用户在主机上拥有的。
使用卷
[root@localhost ~]# su - sb
[sb@localhost ~]$ pwd
/home/sb
[sb@localhost ~]$ mkdir data
[sb@localhost ~]$ ls
data
[sb@localhost ~]$ podman run -it -v "$(pwd)"/data:/data:Z busybox /bin/sh
Resolved "busybox" as an alias (/etc/containers/registries.conf.d/000-shortnames.conf)
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob 50783e0dfb64 done
Copying config 7a80323521 done
Writing manifest to image destination
Storing signatures
/ # ls
bin data dev etc home proc root run sys tmp usr var
/ # cd data/
/data # ls
/data # touch 1 2 3 4 5
/data # ls
1 2 3 4 5
在主机上查看
sb@localhost data]$ ll
总用量 0
-rw-r--r--. 1 sb sb 0 8月 15 03:33 1
-rw-r--r--. 1 sb sb 0 8月 15 03:33 2
-rw-r--r--. 1 sb sb 0 8月 15 03:33 3
-rw-r--r--. 1 sb sb 0 8月 15 03:33 4
-rw-r--r--. 1 sb sb 0 8月 15 03:33 5
//写入文件
[sb@localhost data]$ echo sb nihao >> haha
[sb@localhost data]$ cat haha
sb nihao
容器里查看
/data # cat haha
sb nihao
//我们可以发现在容器里面的文件的属主和属组都属于root,那么如何才能让其属于tom用户呢?下面告诉你答案
sb nihao
/data # ls -l
total 4
-rw-r--r-- 1 root root 0 Aug 15 07:33 1
-rw-r--r-- 1 root root 0 Aug 15 07:33 2
-rw-r--r-- 1 root root 0 Aug 15 07:33 3
-rw-r--r-- 1 root root 0 Aug 15 07:33 4
-rw-r--r-- 1 root root 0 Aug 15 07:33 5
-rw-rw-r-- 1 root root 9 Aug 15 07:34 haha
//只要在运行容器的时候加上一个–userns=keep-id即可。
[sb@localhost ~]$ podman run -it --name hehe -v "$(pwd)"/data:/data:Z --userns=keep-id busybox /bin/sh
~ $ ls
bin data dev etc home proc root run sys tmp usr var
~ $ cd data/
/data $ ll
/bin/sh: ll: not found
/data $ ls -l
total 8
-rw-r--r-- 1 sb sb 0 Aug 15 07:33 1
-rw-r--r-- 1 sb sb 0 Aug 15 07:33 2
-rw-r--r-- 1 sb sb 0 Aug 15 07:33 3
-rw-r--r-- 1 sb sb 0 Aug 15 07:33 4
-rw-r--r-- 1 sb sb 0 Aug 15 07:33 5
-rw-rw-r-- 1 sb sb 9 Aug 15 07:34 haha
使用普通用户映射容器端口时会报“ permission denied”的错误
[sb@localhost ~]$ podman run -d -p 80:80 busybox
Error: rootlessport cannot expose privileged port 80, you can add 'net.ipv4.ip_unprivileged_port_start=80' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024): listen tcp 0.0.0.0:80: bind: permission denied
普通用户可以映射>= 1024的端口
[sb@localhost ~]$ podman run -d -p 1024:80 httpd
52a610596d1668613a6bdc70d473bdff8fb26aa15092d4f9f624583f795a6f08
[zz@localhost ~]$ ss -anlt
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 *:1024 *:*
LISTEN 0 128 [::]:22 [::]:*
配置echo ‘net.ipv4.ip_unprivileged_port_start=80’ >> /etc/sysctl.conf后可以映射大于等于80的端口
[[root@localhost ~]# vim /etc/sysctl.conf
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 200000
net.ipv4.ip_unprivileged_port_start = 80
[sb@localhost ~]$ podman run -d -p 80:80 httpd
9873f815455a0c300d78e7bf6afaefce4e2bc17954e72d8e8c6b0f26affee121
[zz@localhost ~]$ ss -anlt
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 *:1024 *:*
LISTEN 0 128 *:80 *:*
LISTEN 0 128 [::]:22 [::]:*
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
