在无根环境中的基本设置和使用Podman

最新推荐文章于 2024-05-22 09:47:14 发布
最新推荐文章于 2024-05-22 09:47:14 发布
阅读量526 收藏
点赞数
分类专栏: 奋斗 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuanchunhujian/article/details/126382990
版权

无根用户基本设置和使用Podman

文章目录

在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置

cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。

[root@localhost ~]# yum -y install crun
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 1:25:25 ago on Tue Aug 16 04:22:14 2022.
Dependencies resolved.
=========================================================================
 Package
       Arch    Version                                  Repository  Size
=========================================================================
Installing:
 crun  x86_64  1.4.3-1.module_el8.7.0+1106+45480ee0     appstream  209 k
Installing dependencies:
 yajl  x86_64  2.1.0-11.el8                             appstream   41 k

Transaction Summary
=========================================================================
Install  2 Packages
...
Installed:
  crun-1.4.3-1.module_el8.7.0+1106+45480ee0.x86_64                       
  yajl-2.1.0-11.el8.x86_64                                               

Complete!
[root@localhost ~]# 
[root@localhost ~]# vim /usr/share/containers/containers.conf
runtime = "crun"		#这一行取消注释
#runtime = "runc" 		#这一行给他注释掉
随便拉取一个镜像
[root@localhost ~]# podman run -d --name web -p 80:80 httpd
✔ docker.io/library/httpd:latest
Trying to pull docker.io/library/httpd:latest...
Getting image source signatures
Copying blob 1efc276f4ff9 done  
Copying blob 80cb79a80bbe done  
Copying blob 4340e7be3d7f done  
Copying blob 80e368ef21fc done  
Copying blob aed046121ed8 done  
Copying config f2a976f932 done  
Writing manifest to image destination
Storing signatures
1de41726ed8647dd389e6e6c4bcdf932ca9dd14e21b095a3ab407a90001a32e2
[root@localhost ~]# 
[root@localhost ~]# podman ps
CONTAINER ID  IMAGE                           COMMAND           CREATED             STATUS                 PORTS               NAMES
1de41726ed86  docker.io/library/httpd:latest  httpd-foreground  About a minute ago  Up About a minute ago  0.0.0.0:80->80/tcp  web
[root@localhost ~]# 
这里可以看到已经是这个模式了
root@localhost ~]# podman inspect web | grep crun
          "OCIRuntime": "crun",
[root@localhost ~]# podman inspect web | grep crun

安装slirp4netns和fuse-overlayfs

在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。

#一般情况只要时yum安装的podman基本上自带的这个包
[root@localhost ~]# yum -y install slirp4netns
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 1:58:49 ago on Tue Aug 16 04:22:14 2022.
Package slirp4netns-1.1.8-2.module_el8.7.0+1106+45480ee0.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!
[root@localhost ~]# yum -y install fuse-overlayfs
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 1:59:12 ago on Tue Aug 16 04:22:14 2022.
Package fuse-overlayfs-1.8.2-1.module_el8.7.0+1106+45480ee0.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!
[root@localhost ~]# 
#进这个配置文件,
[root@localhost ~]# vim /etc/containers/storage.conf 
mountopt = "nodev,metacopy=on" //#把这一行取消注释
#看能不能看到这一条命令路径
[root@localhost ~]# which fuse-overlayfs
/usr/bin/fuse-overlayfs
[root@localhost ~]#

/etc / subuid和/ etc / subgid配置

Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件

[root@localhost ~]# yum -y install shadow-utils
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 2:05:34 ago on Tue Aug 16 04:22:14 2022.
Package shadow-utils-2:4.6-16.el8.x86_64 is already installed.
Dependencies resolved.
=========================================================================
 Package            Architecture Version              Repository    Size
===============================================================
...
Upgraded:
  shadow-utils-2:4.6-17.el8.x86_64                                       

Complete!
#创建用户用cat看一下
[root@localhost ~]# 
[root@localhost ~]# useradd nuanchun
[root@localhost ~]# cat /etc/subgid
mysql:100000:65536
nuanchun:165536:65536
#你再创建用户用户的uid只会是之前那个用户的uid和后面的数字之和的基础上分配
[root@localhost ~]# 
[root@localhost ~]# useradd hujian
[root@localhost ~]# cat /etc/subgid
mysql:100000:65536
nuanchun:165536:65536
hujian:231072:65536
[root@localhost ~]# 
#你可以在这个配置文件里修改这种规则
[root@localhost ~]# vim /etc/sysctl.conf 
net.ipv4.ping_group_range=0 400000
这样的话他之后创建的用户的uid只会从400000的范围分配

这个文件的格式是 USERNAME:UID:RANGE中/etc/passwd或输出中列出的用户名getpwent。

  • 为用户分配的初始 UID。
  • 为用户分配的 UID 范围的大小。

该usermod程序可用于为用户分配 UID 和 GID,而不是直接更新文件。

[root@localhost ~]# usermod --add-subuids 200000-201000 --add-subgids 200000-201000 hh
grep hh /etc/subuid /etc/subgid
/etc/subuid:hh:200000:1001
/etc/subgid:hh:200000:1001

#这个是只允许15000个用户访问,可以加可以不加
[root@localhost ~]# vim /etc/sysctl.conf
user.max_user_namespaces=15000

授权文件

此文件里面写了docker账号的密码,以加密方式显示

#先登录才能看到授权文件
[root@localhost ~]# podman login
Username: nuanchun
Password: 
Login Succeeded!
[root@localhost ~]# find / -name auth.json
/run/user/0/containers/auth.json
[root@localhost ~]# cat /run/user/0/containers/auth.json
{
        "auths": {
                "docker.io": {
                        "auth": "bnVhbmNodW46d3V0azAyMDE3"
                }
        }
}[root@localhost ~]# 
#用普通用户也是一样的效果
[nuanchun@localhost ~]$ podman login
Username: nuanchun
Password: 
Login Succeeded!
[nuanchun@localhost ~]$ cat /tmp/podman-run-1001/containers/auth.json
{
        "auths": {
                "docker.io": {
                        "auth": "bnVhbmNodW46d3V0azAyMDE3"
                }
        }
[nuanchun@localhost ~]$

普通用户管理容器

[root@localhost ~]# cat /etc/subuid
mysql:100000:65536
nuanchun:165536:65536
hujian:231072:65536
nuanchunhujian:296608:65536
[root@localhost ~]# tail -2 /etc/sysctl.conf 
#这行说明在100000到400000这个范围的用户是可以管理podman容器的
net.ipv4.ping_group_range=0 400000
user.max_user_namespaces=15000
[root@localhost ~]# 
#无根用户和root用户之间是隔离的。因此互相看不到对方有什么容器和镜像
[hujian@localhost ~]$ podman ps
CONTAINER ID  IMAGE       COMMAND     CREATED     STATUS      PORTS       NAMES
[hujian@localhost ~]$ podman images
REPOSITORY  TAG         IMAGE ID    CREATED     SIZE
[hujian@localhost ~]$ 
[root@localhost ~]# podman images
REPOSITORY               TAG         IMAGE ID      CREATED      SIZE
docker.io/library/httpd  latest      f2a976f932ec  2 weeks ago  149 MB
#拉取和运行容器
[hujian@localhost ~]$ podman run -dit --name k1 -p 8080:80 httpd
Resolving "httpd" using unqualified-search registries (/etc/containers/registries.conf)
Trying to pull docker.io/library/httpd:latest...
Getting image source signatures
CopyCopying blob 80e368ef21fc [====================>-----] 18.2MiB / 22.CopyCopying blob 80e368ef21fc [====================>-----] 18.2MiB / 22.CopyCopying blob 80e368ef21fc [====================>-----] 18.4MiB / 22.Copying blob 80e368ef21fc done  
Copying blob aed046121ed8 done  
Copying blob 80cb79a80bbe done  
Copying blob 4340e7be3d7f done  
Copying blob 1efc276f4ff9 done  
Copying config f2a976f932 done  
Writing manifest to image destination
Storing signatures
a641aef1a0918ffa8eff47afad38ae493d8615270fa7f0bd95e554b51c6bd949
#查看拉去下来的镜像
[hujian@localhost ~]$ podman images
REPOSITORY               TAG         IMAGE ID      CREATED      SIZE
docker.io/library/httpd  latest      f2a976f932ec  2 weeks ago  149 MB
#查看运行的镜像
[hujian@localhost ~]$ podman ps
CONTAINER ID  IMAGE                           COMMAND           CREATED         STATUS             PORTS                 NAMES
a641aef1a091  docker.io/library/httpd:latest  httpd-foreground  36 seconds ago  Up 37 seconds ago  0.0.0.0:8080->80/tcp  k1
#这里你可以发无根用户是没有IP地址的
[hujian@localhost ~]$ podman inspect -l | grep -i addre
               "IPAddress": "",
               "GlobalIPv6Address": "",
               "MacAddress": "",
               "LinkLocalIPv6Address": "",
[hujian@localhost ~]$ 
#因为我们运行容器的时候是暴漏了端口的,所以就算没有IP地址也可也访问的到。
[hujian@localhost ~]$ curl 192.168.171.134:8080
<html><body><h1>It works!</h1></body></html>
[hujian@localhost ~]$ 
所以容器他没有IP地址是可以使用的,当然也可以进入容器也可以访问外网。
[kang@localhost ~]$ podman run -it --rm --name web2 busybox
/ # ping baidu.com
PING baidu.com (39.156.66.10): 56 data bytes
64 bytes from 39.156.66.10: seq=0 ttl=255 time=38.518 ms
64 bytes from 39.156.66.10: seq=1 ttl=255 time=38.133 ms
64 bytes from 39.156.66.10: seq=2 ttl=255 time=37.666 ms
^C

  • 容器与root用户一起运行,则root容器中的用户实际上就是主机上的用户。
  • UID GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID GID。
  • 如果普通用户的身份从主机目录挂载到容器中,并在该目录中以根用户身份创建文件,则会看到它实际上是你的用户在主机上拥有的。

使用卷

实际上里面还是root的用户,那要怎么才能改成kang用户呢

[kang@localhost ~]$ ls
abc
[kang@localhost ~]$ ll
total 0
drwxrwxr-x. 2 kang kang 15 Aug 16 22:43 abc 
[kang@localhost ~]$ podman run -dit --name web1 -v /home/kang/abc/:/abc -p 8080:80 httpd
4d503c3ef46715e5069d309a29235f7f008ae1527c7549bf44783317cbd3f6e4
[kang@localhost ~]$ podman exec -it web1 /bin/bash
root@4d503c3ef467:/usr/local/apache2# ls -l / --color
total 4
drwxrwxr-x.   2 root   root      15 Aug 17 02:43 abc
drwxr-xr-x.   1 root   root       6 Aug  2 04:35 bin
root@602807ec776b:/usr/local/apache2# cd /abc/
bash: cd: /abc/: Permission denied
root@602807ec776b:/usr/local/apache2# 
发现权限被拒绝
root@602807ec776b:/usr/local/apache2# exit
exit
[kang@localhost ~]$ podman rm -f web1 
602807ec776bf279af09b0a82f52b0258f169a86d5a9075e242bacbdc5b824de
[kang@localhost ~]$ podman run -dit --name web1 -v /home/kang/abc/:/abc:Z -p 8080:80 httpd
在次创建容器,在参数加上Z这里的Z是改写防火墙规则的。可以实现私有且未共享,他还有一个参数小写z就是实现公共共享。
716d0ee1f47e721a140c3356874ab33f86de18376f4af2d0f048e5d413667922
[kang@localhost ~]$ podman exec -it web1 /bin/bash
root@716d0ee1f47e:/usr/local/apache2# cd /abc
root@716d0ee1f47e:/abc# ls
1  2
root@716d0ee1f47e:/abc# 
这里就实现了目录共享。
这里要想要容器里的目录属组属主都是kang用户,就必须要加--userns=keep-id然后也需要加上:Z。
[kang@localhost ~]$ podman run -dit --name web1 -v /home/kang/abc/:/abc:Z --userns=keep-id busybox
d92edb8c8ce46203fdc0c4320506690e9be4972fe7e09ef5242a5243cac778e9
[kang@localhost ~]$ podman ps
CONTAINER ID  IMAGE                             COMMAND     CREATED        STATUS            PORTS       NAMES
d92edb8c8ce4  docker.io/library/busybox:latest  sh          4 seconds ago  Up 4 seconds ago              web1
[kang@localhost ~]$ id
uid=1004(kang) gid=1004(kang) groups=1004(kang) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[kang@localhost ~]$ podman exec -it web1 /bin/sh
~ $ id
uid=1004(kang) gid=1004(kang)
~ $ cd /abc/
/abc $ ll
/bin/sh: ll: not found
/abc $ ls -l
total 0
-rw-rw-r--    1 kang     kang             0 Aug 17 02:53 1
-rw-rw-r--    1 kang     kang             0 Aug 17 02:53 2
/abc $ 

[kang@localhost ~]$ podman run -dit --name web -p 82:80 httpd
Error: rootlessport cannot expose privileged port 82, you can add 'net.ipv4.ip_unprivileged_port_start=82' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024): listen tcp 0.0.0.0:82: bind: permission denied
[kang@localhost ~]$ 
这里我们想创建一个映射82端口的容器,但是这里报错,无根用户无法创建82端口那他的报错已经提示了net.ipv4.ip_unprivileged_port_start=82把这一行配置加上/etc/sysctl.conf这个配置文件里面。
[root@localhost ~]# vim /etc/sysctl.conf 
#这一步必须要做,就是让配置文件生效
[root@localhost ~]# sysctl -p
net.ipv4.ping_group_range = 0 400000
user.max_user_namespaces = 15000
net.ipv4.ip_unprivileged_port_start = 80
[root@localhost ~]# 
[kang@localhost ~]$ podman run -dit --name web2 -p 81:80 httpd 
abe3a16d3d8a5af7fa1b815f04707ac2ecdc975f043b6cdf4ee6d7d84e69eaa6
[kang@localhost ~]$ ss -antl
State   Recv-Q  Send-Q   Local Address:Port   Peer Address:Port Process  
LISTEN  0       128            0.0.0.0:80          0.0.0.0:*             
LISTEN  0       128            0.0.0.0:22          0.0.0.0:*             
LISTEN  0       128                  *:81                *:*             
LISTEN  0       128               [::]:22             [::]:*             
[kang@localhost ~]$
暖春忽见
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Podman应用
weixin_57691077的博客
08-13 411
Podman使用 拉取镜像 [root@localhost ~]# podman pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting image source signatures Copying blob c90b090c213b done Co
subordinate:用于管理 subuid 和 subgid 的 Python 模块
06-03
下属 介绍 下级用户/组 id 出现在 2013 年的 Linux 内核 3.12 。下级 id 的目标是给用户或组除了他自己的 id 之外的 id 范围。 这些额外的 id 可用于各种活动,例如运行无特权的容器。 默认情况下,分配给系统用户的范围列在/etc/subuid (有关组,请参阅/etc/subgid )。 每一行的格式是名称:id_first:id_count和装置,该用户/组名具有在他的处置的范围起始于id_first id_count的id。 请注意,可以给出的 id 范围有一些限制(请参阅man login.defs )。 Subordinate是一个 Python 模块,可以更轻松地在 Python 框架处理这些 id 文件。 Subordinate模块提供了多种工具来创建和管理名称和 ID 之间的映射、读取 ID 文件并生成以直接在 GNU/Linux
【docker系列】使用非root用户安装及启动docker(rootless模式运行)
热门推荐
字母哥博客
05-20 2万+
字母哥只出精品原创,使用非root用户安装及启动docker(rootless模式运行)
探秘融合文件系统:fuse-overlayfs
最新发布
gitblog_00060的博客
05-22 438
探秘融合文件系统:fuse-overlayfs 项目地址:https://gitcode.com/containers/fuse-overlayfs 在开源世界,创新不断, fuse-overlayfs 就是一个值得你了解和尝试的新星。它是一个基于FUSE(Filesystem in Userspace)的实现,专为无根容器提供了overlay + shiftfs功能。通过这个项目,你可以轻松地...
User Namespace
知其然,顺其道
06-04 1181
User Namespace 问题描述 默认情况下,容器的进程以 root 用户权限运行,并且这个 root 用户和宿主机的 root 是同一个用户。这就意味着一旦容器的进程有了适当的机会,它就可以控制宿主机上的一切。 通过本文,希望读者可以掌握以下知识点,从而让容器以更安全的方式运行 Linux内核是通过uid和gid来控制权限,而不是通过用户名 容器和宿主机共享内核,内核控制的uid和gid也只有一套,所以同一个uid在宿主机和容器代表的是同一个用户(即便在不同的地方显示了不同的用户名)
linuxchown找不到文件夹,linux – 如何在没有sudo的情况下将文件chown到subuid
weixin_28746213的博客
04-30 456
基本上,这里发生了什么,我不理解什么?我为我的用户提供了一组子项.我想将文件chown到特定的subuid,这是该用户分配的一部分administrator@host:/home/administrator$cat /etc/subuidroot:100000:65536administrator:165536:65536administrator:1000000:9000001administr...
Podman 在 Rootless 环境基本设置使用
m0_53765226的博客
08-17 1208
Podman 在 Rootless 环境基本设置使用
unifi-controller:Podman-compose配置,可将UniFi Controller作为无根容器运行
03-14
另外,您可以使用在项目使用asdf,direnv和Pipenv配置的Python和podman-compose的确切版本。 此处的说明已在Ubuntu 18.04上进行了测试。 快速开始 首先,您只需要Python,pip和podman-compose。 安装Python 3和...
podman-compose:使用podman运行docker-compose.yml的脚本
05-12
该项目旨在为docker-compose提供docker-compose替换,并且在某些情况下非常有用,因为: 可以无根运行仅取决于podman和Python3和 没有守护程序,没有设置。 开发人员可以使用它来使用单个熟悉的YAML文件运行单机...
podman-container-systemd:使用podman创建systemd文件并创建容器
03-11
podman-container-systemd 角色设置要在systemd帮助下在主机上运行的容器。 实现容器事件,但不控制或跟踪生命周期。 这是外部工具的工作,集群的和本地安装的 。 我写这个角色是为了帮助管理不是集群的个人...
fuse-overlayfs:overlayfs的FUSE实现
05-12
保险丝覆盖 无根容器的FUSE的overlay + shiftfs实现。 用法: $ fuse-overlayfs -o lowerdir=lowerdir/a:lowerdir/b,upperdir=up,workdir=workdir merged 指定不同的UID / GID映射: $ fuse-overlayfs -o uidmapping=0:10:100:100:10000:2000,gidmapping=0:10:100:100:10000:2000,lowerdir=lowerdir/a:lowerdir/b,upperdir=up,workdir=workdir merged 要求: 如果您不按照下一章的说明使用静态构建,则系统需要libfuse > v3.2.1。 在Fedora上: dnf install fuse3-devel 在Ubuntu> v19
Batch-Uninstaller:适用于Android的Batch Uninstaller应用程序(可在有根电话和无根电话上使用
05-05
知道您在选择过程释放了多少空间 显示应用程序名称,安装日期和大小 去做 卸载root手机之前,请备份系统应用程序 功能要求 所有计划的增强功能都在这里: : 如果看不到类似的请求,! 屏幕截图 执照 Batch ...
ScreenRecorder,在android 5.0 上使用mediaprojectionmanager、virtualdisplay、audiorecord、mediacodec和mediamuxer api实现无根屏幕捕获.zip
09-26
MediaMuxer接口允许我们将多个媒体轨道(如视频和音频)合并到一个容器文件,方便后续播放。 实现流程大致如下: 1. 启动权限请求,获取MediaProjection的许可。 2. 使用MediaProjectionManager创建Media...
Docker 生产环境之安全性 - 使用用户命名空间隔离容器
kikajack的博客
03-18 3992
原文地址Linux 命名空间为运行的进程提供了隔离,限制他们对系统资源的访问,而进程没有意识到这些限制。有关 Linux 命名空间的更多信息,请参阅 Linux 命名空间。防止容器内的特权升级攻击的最佳方法是将容器的应用程序配置为作为非特权用户运行。对于其进程必须作为容器的 root 用户运行的容器,可以将此用户重新映射到 Docker 主机上权限较低的用户。映射的用户被分配了一系列 UID,这
podman用户操作
qq_45211528的博客
08-15 430
podman用户操作
无根用户管理podman
weixin_72435491的博客
08-17 241
无根用户管理podman
linux用户隔离,隔离 Docker 容器的用户
weixin_39641386的博客
04-28 648
笔者在前文《理解 docker 容器的 uid 和 gid》介绍了 docker 容器的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
求解无根奇数边的数量的c++程序
05-27
下面是求解无根奇数边的数量的C++程序: ```c++ #include <iostream> #include <vector> using namespace std; const int MAXN = 1e5 + 5; vector<int> G[MAXN]; bool vis[MAXN]; int ans = 0; void dfs(int u, int p, int dep) { vis[u] = true; if (dep & 1) ans++; for (int v : G[u]) { if (v == p || vis[v]) continue; dfs(v, u, dep + 1); } } int main() { int n; cin >> n; for (int i = 1; i < n; i++) { int u, v; cin >> u >> v; G[u].push_back(v); G[v].push_back(u); } dfs(1, 0, 0); cout << ans << endl; return 0; } ``` 其,dfs函数表示从节点u开始深度优先遍历整个树,并统计奇数深度的边的数量。vis[i]表示节点i是否已经被遍历过。在主函数,我们读入无根树的边,然后从根节点1开始遍历整个树。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值