podman案例:通过容器,普通用户生成系统服务,并有权限进行管理

最新推荐文章于 2024-04-28 12:54:14 发布
最新推荐文章于 2024-04-28 12:54:14 发布
阅读量926 收藏 2
点赞数 1
分类专栏: Linux 文章标签: 容器 linux apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45834685/article/details/121144765
版权

podman案例:通过容器,普通用户掌握管理服务的权利

1.准备环境:RHEL8.3系统或更高级别的系统(RHEL8.2其实就已经支持了,但是对于服务的开机自启支持不好)
  • 本次实验目的是通过普通用户,也可以拥有掌控服务的权利,而不需要切换为root用户或得到sudo授权。
  • 得益于podman的这一特性,容器也可以晋升为服务单元,并且可以实现开机容器自启,关机容器自动销毁,管理起来和root管理系统服务的感受一模一样。
  • 我现在使用的是RHEL8.3
  • 务必注意:请使用普通用户以SSH形式远程登录系统,否则中途容器在生成服务的时候会出现BUG
[root@rhel-liuyunfei-8-3 ~]# ssh liuyunfei@192.168.159.136
Last failed login: Thu Nov  4 14:33:42 CST 2021 from 192.168.159.136 on ssh:notty
There was 1 failed login attempt since the last successful login.
# 务必以普通用户登录,这才是本次实验所要实现的现象
[liuyunfei@rhel-liuyunfei-8-3 ~]$
2.拉取镜像,创建容器
# 登录红帽官方镜像仓库,获取拉取权限
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman login registry.redhat.io
Username: feiyunliu
Password:
Login Succeeded!
# 拉取镜像
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman pull registry.redhat.io/rhel8/httpd-24
Trying to pull registry.redhat.io/rhel8/httpd-24...
Getting image source signatures
Copying blob e9046716b06d done
Copying blob 9ea3e616d557 done
Copying blob 47aa3ed2034c done
Copying blob eac1b95df832 done
Copying config 0d04740850 done
Writing manifest to image destination
Storing signatures
0d04740850e8ba516528b96feea3871e49d858fb684c1a015b2846e4e73dd77e
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman images
REPOSITORY                         TAG     IMAGE ID      CREATED     SIZE
registry.redhat.io/rhel8/httpd-24  latest  0d04740850e8  8 days ago  462 MB

# 创建外部目录,实现数据持久化
[liuyunfei@rhel-liuyunfei-8-3 ~]$ mkdir -p ~/httpd/html
# 书写测试内容
[liuyunfei@rhel-liuyunfei-8-3 ~]$ echo "By podman I will create a system unit in user level" > ~/httpd/html/index.html
[liuyunfei@rhel-liuyunfei-8-3 ~]$ cat ~/httpd/html/index.html
By podman I will create a system unit in user level

# 启动Apache容器
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman run -d --name=apache-unit -p 8080:8080 -v ~/httpd:/var/www/:Z registry.redhat.io/rhel8/httpd-24
62c923926631925d8517015debd869647d26a5a3b6e6467e79445d55402033b3
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman ps
CONTAINER ID  IMAGE                                     COMMAND               CREATED        STATUS            PORTS                   NAMES
62c923926631  registry.redhat.io/rhel8/httpd-24:latest  /usr/bin/run-http...  5 seconds ago  Up 4 seconds ago  0.0.0.0:8080->8080/tcp  apache-unit
2.1访问容器,目前没有问题
[liuyunfei@rhel-liuyunfei-8-3 ~]$ curl http://localhost:8080
By podman I will create a system unit in user level
3.普通用户通过容器创建系统服务
# 必须在用户家目录创建此目录,不能更改名字
[liuyunfei@rhel-liuyunfei-8-3 ~]$ mkdir -p ~/.config/systemd/user
[liuyunfei@rhel-liuyunfei-8-3 ~]$ cd ~/.config/systemd/user
[liuyunfei@rhel-liuyunfei-8-3 user]$ ls
# 此时目录为新创建,是空的

# 注意当前所在路径,使用podman生成系统服务(依照当前容器自动生成)
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman generate systemd --name apache-unit --files --new
/home/liuyunfei/.config/systemd/user/container-apache-unit.service
[liuyunfei@rhel-liuyunfei-8-3 user]$ ls
container-apache-unit.service

# 关闭容器,删除容器
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman stop apache-unit
62c923926631925d8517015debd869647d26a5a3b6e6467e79445d55402033b3
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman rm apache-unit
62c923926631925d8517015debd869647d26a5a3b6e6467e79445d55402033b3
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman ps
CONTAINER ID  IMAGE   COMMAND  CREATED  STATUS  PORTS   NAMES

# 再三提醒:如果不是ssh登录,或者不是重新进入Linux系统的方式,以下内容会出现问题
# 加载一下系统服务
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user daemon-reload

# 立即启用服务
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user enable container-apache-unit.service --now
Created symlink /home/liuyunfei/.config/systemd/user/multi-user.target.wants/container-apache-unit.service → /home/liuyunfei/.config/systemd/user/container-apache-unit.service.
Created symlink /home/liuyunfei/.config/systemd/user/default.target.wants/container-apache-unit.service → /home/liuyunfei/.config/systemd/user/container-apache-unit.service.

# 查看服务的状态,已经处于运行状态
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user status container-apache-unit.service
● container-apache-unit.service - Podman container-apache-unit.service
   Loaded: loaded (/home/liuyunfei/.config/systemd/user/container-apache-unit.service; enabled>
   Active: active (running) since Thu 2021-11-04 15:54:08 CST; 2min 7s ago
     Docs: man:podman-generate-systemd(1)
  Process: 3297 ExecStart=/usr/bin/podman run --conmon-pidfile /run/user/1000/container-apache>
  Process: 3296 ExecStartPre=/bin/rm -f /run/user/1000/container-apache-unit.pid /run/user/100>
 Main PID: 3330 (conmon)
   CGroup: /user.slice/user-1000.slice/user@1000.service/container-apache-unit.service
           ├─3307 /usr/bin/fuse-overlayfs -o lowerdir=/home/liuyunfei/.local/share/containers/>
           ├─3310 /usr/bin/slirp4netns --disable-host-loopback --mtu 65520 --enable-sandbox -->
           ├─3312 containers-rootlessport
           ├─3319 containers-rootlessport-child
           ├─3330 /usr/bin/conmon --api-version 1 -c bc3c0b9b7e0836c6c596483c85a599be0b002f849>
           └─bc3c0b9b7e0836c6c596483c85a599be0b002f849ea85ba5252ae4ae69c96bb6
             ├─3340 httpd -D FOREGROUND
             ├─3380 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3381 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3382 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3383 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3384 httpd -D FOREGROUND
             ├─3385 httpd -D FOREGROUND
             ├─3403 httpd -D FOREGROUND
             └─3404 httpd -D FOREGROUND

# 此时查看是否有容器在运行,本来我们已经手动关闭并删除了此容器,但只要服务启动,就会自动创建新的容器,只要服务关闭,该容器就会自动删除,非常人性化
# 而且此服务不需要root或sudo提权,普通用户即可对其进行控制,使用systemctl命令
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman ps
CONTAINER ID  IMAGE                                     COMMAND               CREATED        STATUS            PORTS                   NAMES
bc3c0b9b7e08  registry.redhat.io/rhel8/httpd-24:latest  /usr/bin/run-http...  2 minutes ago  Up 2 minutes ago  0.0.0.0:8080->8080/tcp  apache-unit

# 服务关闭,容器自动删除,而且还可以做到开机自动创建,关机自动删除
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user stop container-apache-unit.service
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman ps -a
CONTAINER ID  IMAGE   COMMAND  CREATED  STATUS  PORTS   NAMES
4.设置linger参数,实现开机登录普通用户看到容器
# 设置linger,可以在以普通用户使用“su -”登录时看到容器,否则登录系统找不到容器
[liuyunfei@rhel-liuyunfei-8-3 ~]$ loginctl enable-linger liuyunfei
[liuyunfei@rhel-liuyunfei-8-3 ~]$ loginctl show-user liuyunfei | grep -i linger
Linger=yes

# 就可以看到容器,但是你会发现无法用systemctl管理容器,是因为不是使用ssh登录
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman ps
CONTAINER ID  IMAGE                                     COMMAND               CREATED         STATUS             PORTS                   NAMES
32f311465555  registry.redhat.io/rhel8/httpd-24:latest  /usr/bin/run-http...  11 minutes ago  Up 11 minutes ago  0.0.0.0:8080->8080/tcp  apache-unit
5.使用ssh登录,与”su -“普通用户不同,区别在于是否可以使用systemctl管理服务
# ======================= su -模式 =======================
# 发现再使用tab补齐的时候,无法补齐,必须使用ssh登录才行
[liuyunfei@rhel-liuyunfei-8-3 ~]$ systemctl --user status con......

# ======================= ssh 模式 =======================
[liuyunfei@rhel-liuyunfei-8-3 ~]$ systemctl --user status container-apache-unit.service
● container-apache-unit.service - Podman container-apache-unit.service
   Loaded: loaded (/home/liuyunfei/.config/systemd/user/container-apache-unit.service; enabled>
   Active: active (running) since Thu 2021-11-04 16:40:14 CST; 13min ago
     Docs: man:podman-generate-systemd(1)
  Process: 1488 ExecStart=/usr/bin/podman run --conmon-pidfile /run/user/1000/container-apache>
  Process: 1483 ExecStartPre=/bin/rm -f /run/user/1000/container-apache-unit.pid /run/user/100>
 Main PID: 1681 (conmon)
   CGroup: /user.slice/user-1000.slice/user@1000.service/container-apache-unit.service
           ├─1640 /usr/bin/slirp4netns --disable-host-loopback --mtu 65520 --enable-sandbox -->
           ├─1649 containers-rootlessport
           ├─1650 /usr/bin/fuse-overlayfs -o lowerdir=/home/liuyunfei/.local/share/containers/>
           ├─1663 containers-rootlessport-child
           ├─1681 /usr/bin/conmon --api-version 1 -c 32f311465555ebece4e12f30517e3272af12bd140>
           └─32f311465555ebece4e12f30517e3272af12bd140d58cab3eb7d47c2a5fc0193
             ├─1694 httpd -D FOREGROUND
             ├─2040 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2061 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2062 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2063 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2064 httpd -D FOREGROUND
             ├─2066 httpd -D FOREGROUND
             ├─2067 httpd -D FOREGROUND
             └─2068 httpd -D FOREGROUND
云梦归遥
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Podman安装与使用
m0_66570838的博客
09-05 1102
本文主要讲解了podman的安装过程
podman root用户容器自启
dabaohjl的博客
05-23 306
容器开机自启 查看网络配置 [root@duanruhui ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever p
Podman入门全指南:安装、配置与运行容器
todoitbo的博客
04-28 5866
本文将深入浅出地介绍Podman的搭建与基础使用方法,目标是帮助读者理解Podman作为一种容器管理工具与Docker的不同之处,并教会读者如何从安装到运行自己的容器应用。全文将详细讲解Podman的安装过程,配置步骤,以及如何通过命令行管理和运行容器。此外,文章还将探讨Podman的一些高级特性,如构建容器镜像、网络配置和资源限制,以使读者能够充分利用Podman在开发和生产环境中的潜力。
非root用户使用podman容器
识途老码
11-02 2198
非根用户使用podman容器创建一个普通用户查看镜像查看podman的数据目录 podman如果要使用普通用户,shell不能是nologi。 必须要有ssh或者终端登录。 创建一个普通用户 # 创建普通权限新用户devops [cesu-c8 root ~]# useradd devops # 给devops用户设置密码 [cesu-c8 root ~]# echo devops|passwd --stdin devops Changing password for user devops. pa
podman安装、普通用户使用podman的方式、podman的常用命令
qq_58668102的博客
12-14 1704
Podman 简介 Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。 podman官网 Podman安装 [root
podman 普通用户创建容器自启动
m0_62615760的博客
05-20 541
普通用户podman创建容器自启动时必须使用ssh或控制台登录,开始使用根用户ssh登录然后su-切换到普通用户后,就出现了问题 创建podman容器 [shp@localhost ~]$ podman run -dt --name shpweb1 -v /home/shp/shihp:/usr/local/apache2/htdoce:Z httpd 创建目录来存放普通用户的systemd文件 [shp@localhost shihp]$ mkdir ~/.config/systemd/use.
Podman 创建容器时挂载目录权限处理
weixin_44817260的博客
05-29 3404
最近使用 podman 在服务器非 root 用户下部署 oracle 容器时,遇到挂载目录的权限问题,一番折腾后终于解决了,这里记录一下,给有需要的朋友。
JSP基于SSM小区物业管理系统毕业源码案例设计.zip
09-03
总的来说,"JSP基于SSM小区物业管理系统毕业源码案例设计"是一个涵盖了Web开发、数据库操作、管理系统设计等多个领域的实践项目,对于学习者来说,通过这个项目可以深入理解SSM框架的运用,以及物业管理系统的实际...
基于Springboot+Vue大学生竞赛管理系统源码案例设计.zip
04-20
【标题】"基于Springboot+Vue大学生竞赛管理系统源码案例设计.zip" 提供了一个完整的IT解决方案,用于构建一个适用于大学生竞赛管理系统。这个系统利用了现代化的技术栈,结合了后端的Spring Boot框架和前端的Vue....
JSP基于SSM汽车4s店销售库存管理系统可升级SpringBoot源码案例设计.zip
04-19
系统是采用Java企业级开发框架SSM(Spring、SpringMVC、MyBatis)实现的一个汽车4S店销售库存管理系统的源码案例。SSM框架因其灵活性、易用性和强大的功能,常被用于构建复杂的Web应用。下面我们将详细探讨该系统...
基于JSP+Mysql实现的教学管理系统设计(源代码).zip
最新发布
05-05
《基于JSP+MySQL实现的教学管理系统设计》是一个典型的Web应用开发案例,主要涵盖了网页编程、数据库管理服务器端脚本等多个IT领域的知识。本系统适用于初学者进行技能提升,也可作为毕业设计、大作业、课程设计或...
Jsp图书馆管理系统源码.zip
04-18
【Jsp图书馆管理系统源码】是一个使用SSM(Spring、SpringMVC和MyBatis)框架构建的应用程序,主要用于管理图书馆的各种操作。SSM是Java Web开发中的常见组合,提供了模型-视图-控制器(MVC)架构以及数据访问层的...
podman网络、常用命令、以及容器的开机自启
此后如竟没有炬火,我便是唯一的光。
12-15 3040
podman网络、常用命令、以及容器的开机自启1. podman网络1.1 rootfull和rootless容器网络之间的差异1.2 防火墙1.3 容器间通信示例:1.4 查看防火墙规则2. podman常用命令3. 容器的开机自启普通用户设置容器的开机自启 1. podman网络 1.1 rootfull和rootless容器网络之间的差异 podman容器联网的指导因素之一将是容器是否由root用户运行。这是因为非特权用户无法在主机上创建网络接口。因此,对于rootfull容器,默认网络模式是使用容器
RHEL 8 - 用podman compose替代docker compose运行Ansible Tower
多恩斯基的博客
06-08 6372
已在 RHEL 8.4 上验证 本文的前置条件:RHEL8 - 配置基于安装 ISO 文件的 YUM Repo 文章目录安装podman compose环境用podman compose运行busybox应用用podman compose运行Ansible Tower 安装podman compose环境 安装podman $ yum install -y podman $ podman version Version: 3.0.2-dev API Version: 3.0.0 Go Ver
podman安装和普通用户使用podman的方式及podman常用命令
满堂花醉三千客,一剑霜寒十四州
12-14 5130
@ [toc] 什么是podman? Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 OCI 容器容器可以以 root 或无根模式运行。简单地说:别名 docker=podman。 Podman 是一个开源项目,可在大多数 Linux 平台上使用并驻留在GitHub 上。Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 Open Container Initiative (OCI) 容器容器映像。Podman 提供了一个与 Doc
Ceph入门到精通-podman 入门实战
隔壁老瓦的专栏
04-23 925
大意是 podman 使用libpod库提供的一部分,打造应用程序。你可以使用podman创建容器、维护容器
CentOS8使用podman常见错误解决
热门推荐
一个80后IT之路
04-25 2万+
使用rootless用户pull ubuntu镜像,竟然报这种错误。 发现错误: [javadm@instance-2 ~]$ docker pull ubuntu ERRO[0000] cannot find mappings for user javadm: No subuid ranges found for user "javadm" in /etc/subuid ERRO[0000] c...
普通用户使用 docker 设置
weixin_54898062的博客
06-16 1884
docker
在CentOS 8/RHEL 8系统上安装Podman的方法
tonysh_zds的博客
03-03 1100
在CentOS 8或RHEL 8 Linux机器上安装Podman很容易,CentOS 8上大多数与容器相关的工具都可以在称为容器工具(container-tools)的模块上找到。 只需执行以下命令,你就可以开始了: `` $ sudo dnf module list | grep container-tools ![在这里插入图片描述](https://img-blog.csdnimg.cn/284a54dacb3645318729dee311fd933d.png?x-oss-process=image
普通用户怎么让systemd管理podman运行的容器
04-05
普通用户可以通过创建一个systemd用户服务来让systemd管理podman运行的容器。具体步骤如下: 1. 创建一个用户服务文件,比如mycontainer.service,放置于~/.config/systemd/user/目录下,内容如下: ``` [Unit] ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值