podman案例:通过容器,普通用户生成系统服务,并有权限进行管理

最新推荐文章于 2023-11-24 22:00:00 发布
最新推荐文章于 2023-11-24 22:00:00 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: Linux 文章标签: 容器 linux apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45834685/article/details/121144765
版权

podman案例:通过容器,普通用户掌握管理服务的权利

1.准备环境:RHEL8.3系统或更高级别的系统(RHEL8.2其实就已经支持了,但是对于服务的开机自启支持不好)
  • 本次实验目的是通过普通用户,也可以拥有掌控服务的权利,而不需要切换为root用户或得到sudo授权。
  • 得益于podman的这一特性,容器也可以晋升为服务单元,并且可以实现开机容器自启,关机容器自动销毁,管理起来和root管理系统服务的感受一模一样。
  • 我现在使用的是RHEL8.3
  • 务必注意:请使用普通用户以SSH形式远程登录系统,否则中途容器在生成服务的时候会出现BUG
[root@rhel-liuyunfei-8-3 ~]# ssh liuyunfei@192.168.159.136
Last failed login: Thu Nov  4 14:33:42 CST 2021 from 192.168.159.136 on ssh:notty
There was 1 failed login attempt since the last successful login.
# 务必以普通用户登录,这才是本次实验所要实现的现象
[liuyunfei@rhel-liuyunfei-8-3 ~]$
2.拉取镜像,创建容器
# 登录红帽官方镜像仓库,获取拉取权限
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman login registry.redhat.io
Username: feiyunliu
Password:
Login Succeeded!
# 拉取镜像
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman pull registry.redhat.io/rhel8/httpd-24
Trying to pull registry.redhat.io/rhel8/httpd-24...
Getting image source signatures
Copying blob e9046716b06d done
Copying blob 9ea3e616d557 done
Copying blob 47aa3ed2034c done
Copying blob eac1b95df832 done
Copying config 0d04740850 done
Writing manifest to image destination
Storing signatures
0d04740850e8ba516528b96feea3871e49d858fb684c1a015b2846e4e73dd77e
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman images
REPOSITORY                         TAG     IMAGE ID      CREATED     SIZE
registry.redhat.io/rhel8/httpd-24  latest  0d04740850e8  8 days ago  462 MB

# 创建外部目录,实现数据持久化
[liuyunfei@rhel-liuyunfei-8-3 ~]$ mkdir -p ~/httpd/html
# 书写测试内容
[liuyunfei@rhel-liuyunfei-8-3 ~]$ echo "By podman I will create a system unit in user level" > ~/httpd/html/index.html
[liuyunfei@rhel-liuyunfei-8-3 ~]$ cat ~/httpd/html/index.html
By podman I will create a system unit in user level

# 启动Apache容器
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman run -d --name=apache-unit -p 8080:8080 -v ~/httpd:/var/www/:Z registry.redhat.io/rhel8/httpd-24
62c923926631925d8517015debd869647d26a5a3b6e6467e79445d55402033b3
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman ps
CONTAINER ID  IMAGE                                     COMMAND               CREATED        STATUS            PORTS                   NAMES
62c923926631  registry.redhat.io/rhel8/httpd-24:latest  /usr/bin/run-http...  5 seconds ago  Up 4 seconds ago  0.0.0.0:8080->8080/tcp  apache-unit
2.1访问容器,目前没有问题
[liuyunfei@rhel-liuyunfei-8-3 ~]$ curl http://localhost:8080
By podman I will create a system unit in user level
3.普通用户通过容器创建系统服务
# 必须在用户家目录创建此目录,不能更改名字
[liuyunfei@rhel-liuyunfei-8-3 ~]$ mkdir -p ~/.config/systemd/user
[liuyunfei@rhel-liuyunfei-8-3 ~]$ cd ~/.config/systemd/user
[liuyunfei@rhel-liuyunfei-8-3 user]$ ls
# 此时目录为新创建,是空的

# 注意当前所在路径,使用podman生成系统服务(依照当前容器自动生成)
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman generate systemd --name apache-unit --files --new
/home/liuyunfei/.config/systemd/user/container-apache-unit.service
[liuyunfei@rhel-liuyunfei-8-3 user]$ ls
container-apache-unit.service

# 关闭容器,删除容器
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman stop apache-unit
62c923926631925d8517015debd869647d26a5a3b6e6467e79445d55402033b3
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman rm apache-unit
62c923926631925d8517015debd869647d26a5a3b6e6467e79445d55402033b3
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman ps
CONTAINER ID  IMAGE   COMMAND  CREATED  STATUS  PORTS   NAMES

# 再三提醒:如果不是ssh登录,或者不是重新进入Linux系统的方式,以下内容会出现问题
# 加载一下系统服务
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user daemon-reload

# 立即启用服务
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user enable container-apache-unit.service --now
Created symlink /home/liuyunfei/.config/systemd/user/multi-user.target.wants/container-apache-unit.service → /home/liuyunfei/.config/systemd/user/container-apache-unit.service.
Created symlink /home/liuyunfei/.config/systemd/user/default.target.wants/container-apache-unit.service → /home/liuyunfei/.config/systemd/user/container-apache-unit.service.

# 查看服务的状态,已经处于运行状态
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user status container-apache-unit.service
● container-apache-unit.service - Podman container-apache-unit.service
   Loaded: loaded (/home/liuyunfei/.config/systemd/user/container-apache-unit.service; enabled>
   Active: active (running) since Thu 2021-11-04 15:54:08 CST; 2min 7s ago
     Docs: man:podman-generate-systemd(1)
  Process: 3297 ExecStart=/usr/bin/podman run --conmon-pidfile /run/user/1000/container-apache>
  Process: 3296 ExecStartPre=/bin/rm -f /run/user/1000/container-apache-unit.pid /run/user/100>
 Main PID: 3330 (conmon)
   CGroup: /user.slice/user-1000.slice/user@1000.service/container-apache-unit.service
           ├─3307 /usr/bin/fuse-overlayfs -o lowerdir=/home/liuyunfei/.local/share/containers/>
           ├─3310 /usr/bin/slirp4netns --disable-host-loopback --mtu 65520 --enable-sandbox -->
           ├─3312 containers-rootlessport
           ├─3319 containers-rootlessport-child
           ├─3330 /usr/bin/conmon --api-version 1 -c bc3c0b9b7e0836c6c596483c85a599be0b002f849>
           └─bc3c0b9b7e0836c6c596483c85a599be0b002f849ea85ba5252ae4ae69c96bb6
             ├─3340 httpd -D FOREGROUND
             ├─3380 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3381 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3382 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3383 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─3384 httpd -D FOREGROUND
             ├─3385 httpd -D FOREGROUND
             ├─3403 httpd -D FOREGROUND
             └─3404 httpd -D FOREGROUND

# 此时查看是否有容器在运行,本来我们已经手动关闭并删除了此容器,但只要服务启动,就会自动创建新的容器,只要服务关闭,该容器就会自动删除,非常人性化
# 而且此服务不需要root或sudo提权,普通用户即可对其进行控制,使用systemctl命令
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman ps
CONTAINER ID  IMAGE                                     COMMAND               CREATED        STATUS            PORTS                   NAMES
bc3c0b9b7e08  registry.redhat.io/rhel8/httpd-24:latest  /usr/bin/run-http...  2 minutes ago  Up 2 minutes ago  0.0.0.0:8080->8080/tcp  apache-unit

# 服务关闭,容器自动删除,而且还可以做到开机自动创建,关机自动删除
[liuyunfei@rhel-liuyunfei-8-3 user]$ systemctl --user stop container-apache-unit.service
[liuyunfei@rhel-liuyunfei-8-3 user]$ podman ps -a
CONTAINER ID  IMAGE   COMMAND  CREATED  STATUS  PORTS   NAMES
4.设置linger参数,实现开机登录普通用户看到容器
# 设置linger,可以在以普通用户使用“su -”登录时看到容器,否则登录系统找不到容器
[liuyunfei@rhel-liuyunfei-8-3 ~]$ loginctl enable-linger liuyunfei
[liuyunfei@rhel-liuyunfei-8-3 ~]$ loginctl show-user liuyunfei | grep -i linger
Linger=yes

# 就可以看到容器,但是你会发现无法用systemctl管理容器,是因为不是使用ssh登录
[liuyunfei@rhel-liuyunfei-8-3 ~]$ podman ps
CONTAINER ID  IMAGE                                     COMMAND               CREATED         STATUS             PORTS                   NAMES
32f311465555  registry.redhat.io/rhel8/httpd-24:latest  /usr/bin/run-http...  11 minutes ago  Up 11 minutes ago  0.0.0.0:8080->8080/tcp  apache-unit
5.使用ssh登录,与”su -“普通用户不同,区别在于是否可以使用systemctl管理服务
# ======================= su -模式 =======================
# 发现再使用tab补齐的时候,无法补齐,必须使用ssh登录才行
[liuyunfei@rhel-liuyunfei-8-3 ~]$ systemctl --user status con......

# ======================= ssh 模式 =======================
[liuyunfei@rhel-liuyunfei-8-3 ~]$ systemctl --user status container-apache-unit.service
● container-apache-unit.service - Podman container-apache-unit.service
   Loaded: loaded (/home/liuyunfei/.config/systemd/user/container-apache-unit.service; enabled>
   Active: active (running) since Thu 2021-11-04 16:40:14 CST; 13min ago
     Docs: man:podman-generate-systemd(1)
  Process: 1488 ExecStart=/usr/bin/podman run --conmon-pidfile /run/user/1000/container-apache>
  Process: 1483 ExecStartPre=/bin/rm -f /run/user/1000/container-apache-unit.pid /run/user/100>
 Main PID: 1681 (conmon)
   CGroup: /user.slice/user-1000.slice/user@1000.service/container-apache-unit.service
           ├─1640 /usr/bin/slirp4netns --disable-host-loopback --mtu 65520 --enable-sandbox -->
           ├─1649 containers-rootlessport
           ├─1650 /usr/bin/fuse-overlayfs -o lowerdir=/home/liuyunfei/.local/share/containers/>
           ├─1663 containers-rootlessport-child
           ├─1681 /usr/bin/conmon --api-version 1 -c 32f311465555ebece4e12f30517e3272af12bd140>
           └─32f311465555ebece4e12f30517e3272af12bd140d58cab3eb7d47c2a5fc0193
             ├─1694 httpd -D FOREGROUND
             ├─2040 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2061 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2062 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2063 /usr/bin/coreutils --coreutils-prog-shebang=cat /usr/bin/cat
             ├─2064 httpd -D FOREGROUND
             ├─2066 httpd -D FOREGROUND
             ├─2067 httpd -D FOREGROUND
             └─2068 httpd -D FOREGROUND
云梦归遥
关注
专栏目录
Docker(四):容器数据卷与Dockerfile构建镜像(发布)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-30 4万+
🟢 Docker(四):容器数据卷与Dockerfile构建镜像(发布)
podman容器的使用
fanfan
07-04 1790
很多人可能遇到过开机重启时,由于Docker守护程序在占用多核CPU使用100%使用的情况,导致所有容器都无法启动,服务都不能用的情况。 而且Docker守护进程是以root特权权限启动的,是一个安全问题,那么有什么方法解决呢?(使用podman)
podman root用户容器自启
dabaohjl的博客
05-23 336
容器开机自启 查看网络配置 [root@duanruhui ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever p
非root用户使用podman容器
识途老码
11-02 2376
非根用户使用podman容器创建一个普通用户查看镜像查看podman的数据目录 podman如果要使用普通用户,shell不能是nologi。 必须要有ssh或者终端登录。 创建一个普通用户 # 创建普通权限新用户devops [cesu-c8 root ~]# useradd devops # 给devops用户设置密码 [cesu-c8 root ~]# echo devops|passwd --stdin devops Changing password for user devops. pa
podman安装、普通用户使用podman的方式、podman的常用命令
qq_58668102的博客
12-14 1801
Podman 简介 Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。 podman官网 Podman安装 [root
podman 普通用户创建容器自启动
m0_62615760的博客
05-20 591
普通用户podman创建容器自启动时必须使用ssh或控制台登录,开始使用根用户ssh登录然后su-切换到普通用户后,就出现了问题 创建podman容器 [shp@localhost ~]$ podman run -dt --name shpweb1 -v /home/shp/shihp:/usr/local/apache2/htdoce:Z httpd 创建目录来存放普通用户的systemd文件 [shp@localhost shihp]$ mkdir ~/.config/systemd/use.
Podman 创建容器时挂载目录权限处理
weixin_44817260的博客
05-29 3909
最近使用 podman 在服务器非 root 用户下部署 oracle 容器时,遇到挂载目录的权限问题,一番折腾后终于解决了,这里记录一下,给有需要的朋友。
JSP基于SSM小区物业管理系统毕业源码案例设计.zip
09-03
总的来说,"JSP基于SSM小区物业管理系统毕业源码案例设计"是一个涵盖了Web开发、数据库操作、管理系统设计等多个领域的实践项目,对于学习者来说,通过这个项目可以深入理解SSM框架的运用,以及物业管理系统的实际...
iText电子书案例全解:打造完美PDF电子书生成系统
[iText电子书案例全解:打造完美PDF电子书生成系统](https://img-blog.csdnimg.cn/2021072800365332.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3...
基于Springboot+Vue大学生竞赛管理系统源码案例设计.zip
最新发布
04-20
【标题】"基于Springboot+Vue大学生竞赛管理系统源码案例设计.zip" 提供了一个完整的IT解决方案,用于构建一个适用于大学生竞赛管理系统。这个系统利用了现代化的技术栈,结合了后端的Spring Boot框架和前端的Vue....
JSP基于SSM汽车4s店销售库存管理系统可升级SpringBoot源码案例设计.zip
04-19
系统是采用Java企业级开发框架SSM(Spring、SpringMVC、MyBatis)实现的一个汽车4S店销售库存管理系统的源码案例。SSM框架因其灵活性、易用性和强大的功能,常被用于构建复杂的Web应用。下面我们将详细探讨该系统...
podman网络、常用命令、以及容器的开机自启
此后如竟没有炬火,我便是唯一的光。
12-15 3230
podman网络、常用命令、以及容器的开机自启1. podman网络1.1 rootfull和rootless容器网络之间的差异1.2 防火墙1.3 容器间通信示例:1.4 查看防火墙规则2. podman常用命令3. 容器的开机自启普通用户设置容器的开机自启 1. podman网络 1.1 rootfull和rootless容器网络之间的差异 podman容器联网的指导因素之一将是容器是否由root用户运行。这是因为非特权用户无法在主机上创建网络接口。因此,对于rootfull容器,默认网络模式是使用容器
Linux】Rocky Linux 9.0 Podman服务无法正常启动
cnskylee的博客
08-31 3623
从官方技术人员给的回复来看,是selinux导致了上面问题的出现,并且说这个问题可以通过更新container-selinux到2.179版本来解决。当/etc/selinux/config配置中,SELINUX=enforcing为默认配置的时候,启动Podman服务,会出现下面的报错。但是,时隔一个多月后,我再次测试,并将container-selinux升级到了2.189版本,此问题仍未能解决。发现此问题后,我第一时间上报问题到社区论坛。......
RHCSA 02 - 自启动rootless容器
IT基础架构
07-02 362
本文演示如何创建自启动rootless容器。一般我们看到的容器,都是使用root账号启动。而rootless容器则指的是以非root账号启动的容器。步骤1:安装容器包 步骤2:创建普通用户wanlinwang, 步骤3:打开linger特性。linger是允许用户在logout情况下可以跑long-running的服务。 步骤4:以wanlinwang登录本机, 步骤5:在wanlinwang的terminal,运行一个容器, 从以上来看,成功以非root用户运行一个容器!接下来,我们看
Podman应用
weixin_57691077的博客
08-13 460
Podman使用 拉取镜像 [root@localhost ~]# podman pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting image source signatures Copying blob c90b090c213b done Co
Podman 是 Docker 的直接替代品吗?
06-07 1029
你将把它作为一个单独的容器来运行,并且你将尝试运行两个容器进行一些容器间的通信。Pod 也有一个共享的网络命名空间,这意味着 Pod 内的容器可以相互连接。在这篇文章中,你将从一个可以立即投入生产使用的Dockerfile开始,并执行Podman命令,就像你使用Docker时会做的那样。如果一个容器镜像需要一个额外的用户,就会出现问题,如你在上面所看到的。不,它不是一个直接的替代品,因为你需要在Dockerfile中为基础镜像使用全限定的镜像名称,并且你需要更改用户名称空间以便能够拉取镜像。
RHCE8 资料整理(八)
u010230019的博客
11-24 1209
容器是软件的可执行单元,它采用通用方式封装了应用程序代码及其库和依赖项,因此可以随时随地运行容器(无论是在桌面、传统 IT 还是云端)。为此,容器利用一种操作系统 (OS) 虚拟化的形式,进而可以利用操作系统内核的功能(例如 Linux 命名空间和 cgroups、Windows 孤岛和作业对象)来隔离进程,并控制进程可以访问的 CPU、内存和磁盘的数量。容器小巧轻便、速度快且可移植;与虚拟机不同,容器不需要在每个实例中都包含访客操作系统,只需利用主机操作系统的功能和资源。
RHEL 8 - 用podman compose替代docker compose运行Ansible Tower
多恩斯基的博客
06-08 6692
已在 RHEL 8.4 上验证 本文的前置条件:RHEL8 - 配置基于安装 ISO 文件的 YUM Repo 文章目录安装podman compose环境用podman compose运行busybox应用用podman compose运行Ansible Tower 安装podman compose环境 安装podman $ yum install -y podman $ podman version Version: 3.0.2-dev API Version: 3.0.0 Go Ver
podman安装和普通用户使用podman的方式及podman常用命令
满堂花醉三千客,一剑霜寒十四州
12-14 5398
@ [toc] 什么是podman? Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 OCI 容器容器可以以 root 或无根模式运行。简单地说:别名 docker=podman。 Podman 是一个开源项目,可在大多数 Linux 平台上使用并驻留在GitHub 上。Podman 是一个无守护进程的容器引擎,用于在 Linux 系统上开发、管理和运行 Open Container Initiative (OCI) 容器容器映像。Podman 提供了一个与 Doc
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值