Docker 和 Podman的区别

已于 2024-04-15 21:39:23 修改
阅读量1.6k 收藏 18
点赞数 16
分类专栏: podman 文章标签: docker podman 容器
于 2024-04-15 20:58:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52089863/article/details/137795347
版权

文章目录

Docker 和 Podman的区别

安装

Docker安装官方文档

Podman安装官方文档

架构和特权要求

image-20240415183715593

Docker使用client-server架构,其中Docker daemon(服务端)在后台以root权限运行,并通过Docker客户端与之交互。这意味着使用Docker需要root权限或者给用户添加到docker用户组中

[root@docker ~]# ps -ef |grep docker
root        5131       1  0 16:30 ?        00:00:00 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock   # Docker deamon
root        5768    3870  0 18:27 pts/0    00:00:00 grep --color=auto docker

[csq@docker ~]$ sudo docker version
Client: Docker Engine - Community  # 要使用这个Client需要root权限或者给用户添加到docker用户组里
 Version:           26.0.1
 API version:       1.45
 Go version:        go1.21.9
 Git commit:        d260a54
 Built:             Thu Apr 11 10:54:59 2024
 OS/Arch:           linux/amd64
 Context:           default

Server: Docker Engine - Community   # 这个就是docker deamon,就是后台启用的进程
 Engine:
  Version:          26.0.1
  API version:      1.45 (minimum version 1.24)
  Go version:       go1.21.9
  Git commit:       60b9add
  Built:            Thu Apr 11 10:53:19 2024
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.31
  GitCommit:        e377cd56a71523140ca6ae87e30244719194a521
 runc:
  Version:          1.1.12
  GitCommit:        v1.1.12-0-g51d5e94
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0

Podman是一个无守护进程的容器运行时,可以在非特权用户下运行,无需特殊权限

[csq@podman ~]$ ps -ef |grep podman  # podman无守护进程(daemon)
csq         5445    5411  0 18:53 pts/0    00:00:00 grep --color=auto podman
[csq@podman ~]$ podman version
Client:       Podman Engine
Version:      4.9.4-dev
API Version:  4.9.4-dev
Go Version:   go1.21.7 (Red Hat 1.21.7-1.el9)
Built:        Wed Mar 20 18:22:46 2024
OS/Arch:      linux/amd64

运行容器方面

docker

[csq@docker ~]$ sudo docker run -it busybox  # 普通用户要加上sudo才行
Unable to find image 'busybox:latest' locally
latest: Pulling from library/busybox
7b2699543f22: Pull complete 
Digest: sha256:c3839dd800b9eb7603340509769c43e146a74c63dca3045a8e7dc8ee07e53966
Status: Downloaded newer image for busybox:latest
/ # ls
bin    dev    etc    home   lib    lib64  proc   root   sys    tmp    usr    var
/ #

podman

[csq@podman ~]$ podman run -it busybox       # 普通用户可以直接执行            
Resolved "busybox" as an alias (/etc/containers/registries.conf.d/000-shortnames.conf)
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob 7b2699543f22 done   | 
Copying config ba5dc23f65 done   | 
Writing manifest to image destination
/ # ls
bin    dev    etc    home   lib    lib64  proc   root   run    sys    tmp    usr    var
/ #

安全性(root的权限)

Docker在默认配置下需要root权限或者特权用户访问,这会增加潜在的安全风险。但可以通过配置用户命名空间和其他安全措施来提高安全性

[demo@docker ~]$ groups   # demo用户在docker组里
demo docker
[demo@docker ~]$ sudo more /etc/sudoers  # 不具有sudo的权限
[sudo] demo 的密码:
demo 不在 sudoers 文件中。此事将被报告。
[demo@docker ~]$ docker version  # 可以执行docker命令
Client: Docker Engine - Community
 Version:           26.0.1
 API version:       1.45
 Go version:        go1.21.9
 Git commit:        d260a54
 Built:             Thu Apr 11 10:54:59 2024
 OS/Arch:           linux/amd64
 Context:           default

Server: Docker Engine - Community
 Engine:
  Version:          26.0.1
  API version:      1.45 (minimum version 1.24)
  Go version:       go1.21.9
  Git commit:       60b9add
  Built:            Thu Apr 11 10:53:19 2024
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.31
  GitCommit:        e377cd56a71523140ca6ae87e30244719194a521
 runc:
  Version:          1.1.12
  GitCommit:        v1.1.12-0-g51d5e94
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0
# 将sudoers文件挂载出来,并把自己添加到sudoers当中
[demo@docker ~]$ docker run -it -v /etc/sudoers:/root/sudoers busybox sh
/ # cd /root/
~ # ls
sudoers
~ # more sudoers 
Defaults   !visiblepw
Defaults    always_set_home
Defaults    match_group_by_gid
Defaults    always_query_group_plugin
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root    ALL=(ALL)       ALL
%wheel  ALL=(ALL)       ALL
csq     ALL=(ALL)       ALL
~ # vi  sudoers   # 将自己添加进去
demo    ALL=(ALL)       ALL
~ # exit
[demo@docker ~]$ sudo more /etc/sudoers   # 之前不可以查看sudoer,现在就可以查看了  
[sudo] demo 的密码:
Defaults   !visiblepw
Defaults    always_set_home
Defaults    match_group_by_gid
Defaults    always_query_group_plugin
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root    ALL=(ALL)       ALL
%wheel  ALL=(ALL)       ALL
csq     ALL=(ALL)       ALL
demo    ALL=(ALL)       ALL

配置用户命名空间

Docker提供了一种称为用户命名空间的安全功能,它使得一个容器中的进程可以运行在一个虚拟的UID/GID空间中,从而将容器中的特权进程与主机系统分离出来,提高容器的安全性

# 第一步:在Docker daemon配置文件(/etc/docker/daemon.json)中加入用户命名空间的配置
{
   "userns-remap": "default"
}
# 这将配置Docker运行用户命名空间,并将容器内的UID/GID映射到主机上的一个非特权用户(default)


# 第二步:配置/etc/subuid和/etc/subgid文件,这些文件定义了用户到UID/GID的映射关系
csq:100000:65536
demo:165536:65536
# 这条配置定义了dockremap用户的UID从100000开始,分配65536个UID
# 同样的,还要为该用户分配一个GID范围


# 第三步:重启Docker daemon,使得配置生效
systemctl restart docker.service
# 此时,Docker容器应用就运行在一个特定用户空间了。


# 第四步:验证用户命名空间
[demo@docker ~]$ docker run -it -v /etc/sudoers:/root/sudoers busybox sh
Unable to find image 'busybox:latest' locally
latest: Pulling from library/busybox
7b2699543f22: Pull complete 
Digest: sha256:c3839dd800b9eb7603340509769c43e146a74c63dca3045a8e7dc8ee07e53966
Status: Downloaded newer image for busybox:latest
/ # more /root/sudoers 
more: /root/sudoers: Permission denied  # 看不到了
/ # 


# 如果还是希望root用户来启动容器呢,可以使用--userns=host来解决
[demo@docker ~]$ docker run -it --userns=host  -v /etc/sudoers:/root/sudoers busybox sh 
/ # more /root/sudoers 
Defaults   !visiblepw
Defaults    always_set_home
Defaults    match_group_by_gid
Defaults    always_query_group_plugin
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root    ALL=(ALL)       ALL
%wheel  ALL=(ALL)       ALL
csq     ALL=(ALL)       ALL
# 此时,容器root用户映射到宿主root用户,容器普通用户映射到宿主普通用户
# 等同于不使用User Namespace的默认情况

Podman可以在非特权用户下运行,并使用用户命名空间、Linux安全模块(如SELinux)等技术来提供更强的容器安全性

[csq@podman ~]$ podman run -it -v /etc/sudoers:/root/sudoers busybox sh
/ # cd /root/
~ # ls
sudoers
~ # more sudoers   # 无法进行修改
more: sudoers: Permission denied

镜像管理方面

Docker可以通过Docker Hub等公共或私有镜像仓库来获取和分享镜像

[csq@docker ~]$ sudo docker pull nginx
[sudo] csq 的密码:
Using default tag: latest
latest: Pulling from library/nginx
13808c22b207: Pull complete 
6fcdffcd79f0: Pull complete 
fbf231d461b3: Pull complete 
c9590dd9c988: Pull complete 
b4033143d859: Pull complete 
abaefc5fcbde: Pull complete 
bcef83155b8b: Pull complete 
Digest: sha256:9ff236ed47fe39cf1f0acf349d0e5137f8b8a6fd0b46e5117a401010e56222e1
Status: Downloaded newer image for nginx:latest
docker.io/library/nginx:latest  # 通过Docker Hub获取镜像

与Docker兼容的Podman可以直接使用Docker镜像,但它还支持OCI(Open Container Initiative)标准的镜像

[csq@podman ~]$ podman pull nginx
? Please select an image: 
  ▸ registry.access.redhat.com/nginx:latest  # 通过上下左右来确定通过哪个registry拉取image
    registry.redhat.io/nginx:latest
    docker.io/library/nginx:latest
✔ docker.io/library/nginx:latest      # 选择Docker Hub仓库来获取镜像
Trying to pull docker.io/library/nginx:latest...
Getting image source signatures
Copying blob abaefc5fcbde done   | 
Copying blob 13808c22b207 done   | 
Copying blob fbf231d461b3 done   | 
Copying blob 6fcdffcd79f0 done   | 
Copying blob c9590dd9c988 done   | 
Copying blob b4033143d859 done   | 
Copying blob bcef83155b8b done   | 
Copying config c613f16b66 done   | 
Writing manifest to image destination
c613f16b664244b150d1c3644cbc387ec1fe8376377f9419992280eb4a82ff3b

命令方面

命令方面的话docker和podman两个命令提供的功能大差不差

如果习惯docker,还想使用podman可以使用【alias docker=podman】命令别名

[csq@podman ~]$ alias docker=podman

Docker常用命令

管理容器(Containers):

  • docker create:创建一个新的容器但不启动它。

  • docker run:创建并启动一个新的容器。

  • docker start:启动一个或多个已经创建的容器。

  • docker stop:停止一个或多个正在运行的容器。

  • docker restart:重启一个或多个容器。

  • docker pause:暂停一个容器的所有进程。

  • docker unpause:取消暂停一个容器的所有进程。

  • docker kill:杀死一个或多个正在运行的容器。

  • docker rm:删除一个或多个容器。

管理镜像(Images):

  • docker images:列出本地主机上的镜像。

  • docker pull:从远程仓库下载一个镜像。

  • docker build:从Dockerfile构建一个镜像。

  • docker push:将一个本地镜像上传到仓库。

  • docker rmi:删除一个或多个本地镜像。

管理容器资源:

  • docker exec:在运行中的容器中执行命令。

  • docker cp:在容器与本地文件系统之间复制文件。

  • docker logs:查看容器的日志输出。

  • docker stats:显示容器资源的实时统计信息。

管理容器网络(Networking):

  • docker network ls:列出所有网络。

  • docker network create:创建一个网络。

  • docker network connect:将容器连接到一个网络。

  • docker network disconnect:将容器从一个网络断开。

其他常用命令:

  • docker version:显示Docker客户端和服务器的版本信息。

  • docker info:显示Docker系统信息,包括容器、镜像和存储的详细信息。

  • docker inspect:检查容器或镜像的详细配置信息。

Podman常用命令

  • attach: 连接到正在运行的容器以查看其输出和日志。
  • build: 使用 Containerfiles 中的指令构建一个镜像。
  • commit: 基于已更改的容器创建新的镜像。
  • compose: 通过外部提供者(如 docker-compose 或 podman-compose)运行 compose 工作负载。
  • diff: 显示对象文件系统的更改。
  • events: 显示 Podman 系统事件。
  • generate: 基于容器、Pods 或卷生成结构化数据。
  • healthcheck: 管理容器的健康检查。
  • history: 显示指定镜像的历史记录。
  • init: 创建一个或多个容器,但不启动它们。
  • kube: 从结构化文件中运行容器、Pods 或卷。
  • machine: 管理虚拟机。
  • manifest: 操作清单列表和镜像索引。
  • mount: 挂载工作容器的根文件系统。
  • network: 管理网络。
  • port: 列出容器的端口映射或特定映射。
  • push: 将镜像推送到指定的目标。
  • rename: 重命名一个现有容器。
  • rmi: 从本地存储中删除一个或多个镜像。
  • save: 将镜像保存到存档文件中。
  • search: 在镜像仓库中搜索镜像。
  • secret: 管理密钥。
  • tag: 为本地镜像添加额外的名称。
  • unshare: 在修改过的用户命名空间中运行命令。
  • version: 显示 Podman 的版本信息。
  • volume: 管理卷。

内容参考:

https://www.bilibili.com/video/BV1YU4y1p7jG/

https://zhuanlan.zhihu.com/p/607509062#

凤凰战士芭比Q
关注
  • 16
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Podman是什么?它与Docker有什么区别
ma_xiao_qi的博客
05-10 2万+
容器编排工具作为当今最重要的Web开发技术之一,众多强者都在尝试争夺这一行业的主导地位。 Podman是RedHat的一款产品,旨在使用类似于Kubernetes的方法来构建、管理和运行容器,作为一款主流容器的可靠替代产品,它吸引了开发人员的关注。自RHEL 8起,Red Hat用CRI-O/Podman取代了Docker Daemon。为什么Red Hat想要摆脱Docker Daemon?这是因为使用Docker Daemon运行Docker有以下这些问题: 单点故障问题,Docker Daemon
关于dockerpodman
qq_57653432的博客
07-20 2449
docker 容器 podman相关知识
Web服务器群集:podman与docker技术集群
cronaldo91的博客
07-06 1594
QEMU模拟IO设备(网卡,磁盘等),KVM负责cpu虚拟化+内存虚拟化。podman不需要守护进程,而dorker需要守护进程。podman采用模块化的方法,依靠专门的工具来完成特定的任务。docker是一个独立的、强大的工具,在整个循环中处理所有的容器化任务。
对于DockerPodman的一点使用经验
bashenanking的博客
05-09 496
本文会以多个实际的线上例子,分享自己对于DockerPodman的一点使用经验及踩过的坑,希望对读者有一点帮助
Podman和Docker区别
haohaizi_liu的专栏
06-06 501
Podman和Docker都是用于容器化应用程序的工具,但它们之间有一些区别Podman更加轻量级、安全且易于集成到现有系统中,而Docker更加完整且易于使用。选择使用哪个工具取决于具体的需求和使用场景。
为什么说 Podman 是 Docker 的一个替代方案?
ChaITSimpleLove的博客
01-26 1852
Podman 是一个开源的容器运行时项目,可在大多数 Linux平台上使用。Podman提供与Docker 非常相似的功能。Podman 提供了一个与 Docker 兼容的 CLI 工具(命令行界面),可以这样说,会使用 docker 基本就会使用 podman。
Podman入门全指南:安装、配置与运行容器
todoitbo的博客
04-28 5775
本文将深入浅出地介绍Podman的搭建与基础使用方法,目标是帮助读者理解Podman作为一种容器管理工具与Docker的不同之处,并教会读者如何从安装到运行自己的容器应用。全文将详细讲解Podman的安装过程,配置步骤,以及如何通过命令行管理和运行容器。此外,文章还将探讨Podman的一些高级特性,如构建容器镜像、网络配置和资源限制,以使读者能够充分利用Podman在开发和生产环境中的潜力。
容器学习:Podman和Docker的安装、部署和设置
qq_44988877的博客
04-28 1971
Podman是一个开源的容器管理工具,其可在大多数Linux平台上使用,它是一种无守护程序的容器引擎,用于在Linux系统上开发,管理和运行任何符合Open Container Initiative(OCI)标准的容器容器镜像, 提供了一个与Docker兼容的命令行前端。因此这里推荐以下方法进行离线安装。Docker服务启动后默认会创建一个docker0网桥,它使用的默认网段是172.xx.xx.xx,假设部署docker的机器也是用这个网段,则可能会有冲突,可以修改docker默认的网段。
dockerpodman容器与虚拟机的区别
网络安全的研究者
05-27 1027
容器与虚拟机的应用原理,dockerpodman的区别
podman 是什么?和 docker 有什么区别
路多辛的所思所想
06-04 1861
Podman 是一种无守护进程的容器引擎,可以创建、管理和运行 OCI 容器容器可以以非 root 身份运行(也可以使用 root 身份运行)。Podman 是由 Red Hat 开发,从 Red Hat Enterprise Linux 7 开始,Podman 成为了默认的容器引擎。Podman 遵守了 OCI(开放容器倡议)规范,可以轻松查找、运行、构建、共享和部署应用程序。
Podman:Docker 的替代品?
jascl的博客
06-20 486
至于 Docker 桌面,Podman 还附带了 Podman 桌面,提供了增强的功能,使其更加强大和精简。鉴于 Podman 的无守护程序架构、与 Docker 相当的开发人员经验,以及两者都是拥有繁荣社区的开源项目这一事实,坚持使用 DockerPodman 相比并没有明显的优势。容器,以及管理容器映像,但它还支持 pod 作为其功能集的一部分,这意味着您可以像使用 Kubernetes 一样创建和管理 pod。守护进程是在系统后台运行的进程,它们通常在后台连续运行,等待某些事件或请求的发生。
docker容器运行后退出(怎么才能一直运行)
09-30
可以使用`-i`(交互式)选项来保持容器运行,例如`docker run -i [CONTAINER_NAME or CONTAINER_ID]`。但是这种方法并不理想,因为它需要用户一直保持交互状态。 2. **后台模式与TTY选项** 更推荐的方法是结合`-d...
shell脚本监控docker容器和supervisor 运行情况
最新发布
06-19
接下来,Supervisor是一个用Python编写的进程控制系统,它能管理和监控多个进程,包括在Docker容器内部运行的服务。Supervisor的优势在于它可以确保进程在崩溃后自动重启,提供了日志记录和远程控制等功能。监控...
云原生培训-Docker&podman原厂培训PPT
03-16
云原生培训-Docker&podman原厂培训PPT: Docker是什么 Docker基本概念 Docker常用命令实战 DockerFile指令 Docker核心技术 Docker案例实战
Docker容器绑定外部IP和端口的方法
01-10
a、用-P(大写)标记时,docker会随机选择一个端口映射到容器内部开放的网络端口上。 $ docker run -d -P myfirstapp python app.py $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
所有linux系统离线安装包dockerdocker-compose
04-13
Docker Compose则是在Docker基础上,用于管理和编排多个容器的应用服务,它通过一个YAML配置文件定义和运行多个容器化的服务。 标题“所有Linux系统离线安装包dockerdocker-compose”意味着这个压缩包包含了...
Podman安装与运用
m0_53765226的博客
08-15 1353
Podman安装与运用
dockerpodman对比
06-12
DockerPodman都是容器化技术的实现工具,它们有一些相似之处,但也有一些区别。以下是它们之间的主要对比: 1. 架构与运行方式 Docker依赖于一个守护进程来管理容器和镜像,而Podman则是一个简单的命令行工具,它可以直接启动容器进程,而不需要一个守护进程。这使得Podman在某些情况下更加轻量级和灵活。 2. 安全性 Docker在安全性方面做得很好,它提供了许多内置的安全机制,如容器隔离、镜像签名和安全扫描。而Podman则采用了一些更严格的安全策略,如使用rootless容器和SELinux策略。 3. 社区支持 Docker拥有一个庞大的社区,开发者可以从中获得许多支持和资源。而Podman的社区相对较小,但正在不断壮大。 4. 生态系统 Docker拥有一个完整的生态系统,包括Docker Hub、Docker Compose和Docker Swarm等工具,可以很方便地管理和部署容器化应用。而Podman则缺乏这些生态系统工具的支持,但可以与其他工具集成,如Kubernetes。 总的来说,Docker是一个成熟的、广泛采用的容器化工具,有着强大的生态系统和社区支持;而Podman则更加轻量级和灵活,可以在某些特定场景下提供更好的性能和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值