podman
Podman简介
Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker
非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。
Podman可以替换Docker中了大多数子命令(RUN,PUSH,PULL等)。Podman不需要守护进程,而是使用用户命名空间来模拟容器中的root,无需连接到具有root权限的套接字保证容器的体系安全。
Podman专注于维护和修改OCI镜像的所有命令和功能,例如拉动和标记。它还允许我们创建,运行和维护从这些图像创建的容器
Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器和容器镜像。Podman
提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。
什么是docker?
Docker 是一个开源的应用容器引擎,属于 Linux 容器的一种封装,Docker 提供简单易用的容器使用接口,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上。容器是完全使用沙箱机制,相互之间不会有任何接口。
Docker 是目前最流行的 Linux 容器解决方案,即使 Docker 是目前管理 Linux 容器的一个非常方便的工具,但它也有两个缺点:
Docker 需要在你的系统上运行一个守护进程。
Docker 是以 root 身份在你的系统上运行该守护程序。
这些缺点的存在可能有一定的安全隐患,为了解决这些问题,下一代容器化工具 Podman 出现了 。
什么是poaman?
Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。
Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。
Podman 和docker不同之处?
-
docker 需要在我们的系统上运行一个守护进程(docker daemon),而podman 不需要
-
启动容器的方式不同: docker cli 命令通过API跟 Docker Engine(引擎)交互告诉它我想创建一个container,然后docker Engine才会调用OCI container
runtime(runc)来启动一个container。这代表container的process(进程)不会是Docker
CLI的child process(子进程),而是Docker Engine的child process。 Podman是直接给OCI
containner runtime(runc)进行交互来创建container的,所以container
process直接是podman的child process。 -
因为docke有docker daemon,所以docker启动的容器支持–restart策略,但是podman不支持,如果在k8s中就不存在这个问题,我们可以设置pod的重启策略,在系统中我们可以采用编写systemd服务来完成自启动
docker需要使用root用户来创建容器,但是podman不需要
Podman工作机制
Podman 原来是 CRI-O 项目的一部分,后来被分离成一个单独的项目叫 libpod。Podman 的使用体验和 Docker
类似,不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候,Docker CLI 会通过 gRPC API
去跟 Docker Engine 说「我要启动一个容器」,然后 Docker Engine 才会通过 OCI Container
runtime(默认是 runc)来启动一个容器。这就意味着容器的进程不可能是 Docker CLI 的子进程,而是 Docker
Engine 的子进程。Podman 比较简单粗暴,它不使用 Daemon,而是直接通过 OCI runtime(默认也是 runc)来启动容器,所以容器的进程是
podman 的子进程。这比较像 Linux 的 fork/exec 模型,而 Docker 采用的是 C/S(客户端/服务器)模型。与
C/S 模型相比,fork/exec 模型有很多优势,比如:
- 系统管理员可以知道某个容器进程到底是谁启动的。
- 如果利用 cgroup 对 podman 做一些限制,那么所有创建的容器都会被限制。
- SD_NOTIFY : 如果将 podman 命令放入 systemd 单元文件中,容器进程可以通过 podman 返回通知,表明服务已准备好接收任务。
- socket 激活 : 可以将连接的 socket 从 systemd 传递到 podman,并传递到容器进程以便使用它们。
部署Podman
//和docker一样,可以使用yum直接部署
[root@localhost ~]# yum -y install podman
仓库的配置
[root@localhost ~]# vim /etc/containers/registries.conf
[registries.search]
registries = ['registry.access.redhat.com', 'registry.redhat.io', 'docker.io'] #这个是查找从这三个地方查找,如果只留一个,则只在一个源里查找
unqualified-search-registries = ["registry.fedoraproject.org", "registry.access.redhat.com", "registry.centos.org", "docker.io"] //这里也要改为一个
[registries.insecure]
registries = [10.0.0.1] //这里写那些http的仓库,比如harbor
配置加速器
[registries.search]
registries = ['https://kmny1apu.mirror.aliyuncs.com','docker.io']
podman应用
拉取镜像
[root@localhost ~]# podman pull nginx
Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf)
Trying to pull docker.io/library/nginx:latest...
Getting image source signatures
Copying blob 8a268f30c42a done
Copying blob 1f41b2f2bf94 done
Copying blob c90b090c213b done
Copying blob dbb907d5159d done
Copying blob 33847f680f63 done
Copying blob b10cf527a02d done
Copying config 08b152afcf done
Writing manifest to image destination
Storing signatures
08b152afcfae220e9709f00767054b824361c742ea03a9fe936271ba520a0a4b
查看镜像
[root@localhost ~]# podman images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/nginx latest 08b152afcfae 3 weeks ago 137 MB
运行容器
[root@localhost ~]# podman run -d --name a1 -p 80 docker.io/library/nginx
d041738effdc510f917e392731d2b938f56374b0d29ffe6b4ac7f57a193e221d
[root@localhost ~]# podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
d041738effdc docker.io/library/nginx:latest nginx -g daemon o... 4 minutes ago Up 4 minutes ago 0.0.0.0:39683->80/tcp a1
[root@localhost ~]# podman inspect -l
//查看容器的最新信息
......
"SandboxKey": "/run/netns/cni-0b986c4d-1906-30eb-2d4a-849c90540cd9",
"Networks": {
"podman": {
"EndpointID": "",
"Gateway": "10.88.0.1",
"IPAddress": "10.88.0.5",
"IPPrefixLen": 16,
......
[root@localhost ~]# curl 10.88.0.5
......
</head>
<body>
<h1>Welcome to nginx!</h1>
......
查看容器日志
[root@localhost ~]# podman logs -l
/docker-entrypoint.sh: /docker-entrypoint.d/ is not empty, will attempt to perform configuration
/docker-entrypoint.sh: Looking for shell scripts in /docker-entrypoint.d/
/docker-entrypoint.sh: Launching /docker-entrypoint.d/10-listen-on-ipv6-by-default.sh
10-listen-on-ipv6-by-default.sh: info: Getting the checksum of /etc/nginx/conf.d/default.conf
10-listen-on-ipv6-by-default.sh: info: Enabled listen on IPv6 in /etc/nginx/conf.d/default.conf
/docker-entrypoint.sh: Launching /docker-entrypoint.d/20-envsubst-on-templates.sh
/docker-entrypoint.sh: Launching /docker-entrypoint.d/30-tune-worker-processes.sh
/docker-entrypoint.sh: Configuration complete; ready for start up
2021/08/12 16:16:47 [notice] 1#1: using the "epoll" event method
2021/08/12 16:16:47 [notice] 1#1: nginx/1.21.1
2021/08/12 16:16:47 [notice] 1#1: built by gcc 8.3.0 (Debian 8.3.0-6)
2021/08/12 16:16:47 [notice] 1#1: OS: Linux 4.18.0-257.el8.x86_64
2021/08/12 16:16:47 [notice] 1#1: getrlimit(RLIMIT_NOFILE): 1048576:1048576
2021/08/12 16:16:47 [notice] 1#1: start worker processes
2021/08/12 16:16:47 [notice] 1#1: start worker process 30
2021/08/12 16:16:47 [notice] 1#1: start worker process 31
10.88.0.1 - - [12/Aug/2021:16:23:23 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.61.1" "-"
//查看指定容器的实时信息
[root@localhost ~]# podman logs -f a1
2021/08/12 16:16:47 [notice] 1#1: start worker process 30
2021/08/12 16:16:47 [notice] 1#1: start worker process 31
10.88.0.1 - - [12/Aug/2021:16:23:23 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.61.1" "-"
//在另一个终端访问 实时日志就会发生改变
[root@localhost ~]# curl 10.88.0.5
10.88.0.1 - - [12/Aug/2021:16:25:55 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.61.1" "-"
查看容器的PID
[root@localhost ~]# podman top a1
USER PID PPID %CPU ELAPSED TTY TIME COMMAND
root 1 0 0.000 11m17.553275729s ? 0s nginx: master process nginx -g daemon off;
nginx 30 1 0.000 11m16.5534591s ? 0s nginx: worker process
nginx 31 1 0.000 11m16.553500483s ? 0s nginx: worker process
镜像上传
//登录镜像仓库
[root@localhost ~]# podman login
Username: itlang11
Password:
Login Succeeded!
[root@localhost ~]# podman tag docker.io/library/nginx:latest itlang11/test:nginx
[root@localhost ~]# podman push itlang11/test:nginx
Getting image source signatures
Copying blob 988d9a3509bb done
Copying blob 59b01b87c9e7 done
Copying blob e3135447ca3e done
Copying blob b85734705991 done
Copying blob 7c0b223167b9 done
Copying blob 814bff734324 done
Copying config 08b152afcf done
Writing manifest to image destination
Storing signatures
普通用户使用的配置
在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置
cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroup V2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroup V2,必须切换到备用OCI运行时crun。
安装crun
[root@localhost ~]# yum -y install crun
//修改配置文件,把 'runc' 修改为 'crun'
[root@localhost ~]# vim /usr/share/containers/containers.conf
# Default OCI runtime
#
runtime = "crun"
[root@localhost ~]# podman run -d --name a2 -p 80 docker.io/library/nginx
9365d74433aaa72fd72b26b53616dc67f94a96e59ac31d22b71625bb7f57a536
[root@localhost ~]# podman inspect a2 | grep crun
"OCIRuntime": "crun",
"crun",
slirp4netns
slirp4netns包是为普通用户提供一种网络模式
安装fuse-overlayfs
在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是。
[root@localhost ~]# yum -y install slirp4netns
配置storage.conf文件
[root@localhost ~]# vim /etc/containers/storage.conf
# Default Storage Driver
driver = "overlay"
......
mount_program = "/usr/bin/fuse-overlayfs"
//取消这行的注释
/etc/subuid和/etc/subgid配置
Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件
//centos 8 自带的有这个包,再安装一次就更新了这个包
[root@localhost ~]# yum -y install shadow-utils
可以在/ etc / subuid和/ etc / subgid查看,每个用户的值必须唯一且没有任何重叠。
[root@localhost ~]# podman exec -it a2 /bin/bash
root@9365d74433aa:/# id
uid=0(root) gid=0(root) groups=0(root)
root@9365d74433aa:/# cat /etc/subuid
root@9365d74433aa:/# useradd test
root@9365d74433aa:/# cat /etc/subuid
test:100000:65536
该文件的格式为USERNAME:UID:RANGE
- 在/ etc / passwd或getpwent中列出的用户名。
- 为用户分配的初始uid。
- 为用户分配的UID范围的大小
用户的配置文件
三个主要的配置文件是container.conf,storage.conf和registries.conf。用户可以根据需要修改这些文件。
container.conf
Podman读取
/usr/share/containers/containers.conf
storage.conf
/etc/containers/storage.conf
在普通用户中/etc/containers/storage.conf的一些字段将被忽略
graphroot=``""`` ``container storage graph ``dir` `(default: ``"/var/lib/containers/storage"``)`` ``Default directory to store all writable content created by container storage programs.` `runroot=``""`` ``container storage run ``dir` `(default: ``"/run/containers/storage"``)`` ``Default directory to store all temporary writable content created by container storage programs.
在普通用户中这些字段默认
graphroot=``"$HOME/.local/share/containers/storage"``runroot=``"$XDG_RUNTIME_DIR/containers"
registries.conf
如果这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改。
/etc/containers/registries.conf
/etc/containers/registries.d/
授权文件
podman login 登录,默认授权文件位于中${XDG_RUNTIME_DIR}/containers/auth.json
[root@localhost containers]# cat /run/user/0/containers/auth.json
{
"auths": {
"docker.io": {
"auth": "***********************"
}
}
使用卷
容器与root用户一起运行,则root容器中的用户实际上就是主机上的用户。UID / GID 1是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID / GID 。如果普通用户的身份从主机目录挂载到容器中,并在该目录中以根用户身份创建文件,则会看到它实际上是你的用户在主机上拥有的。
[root@localhost containers]# su - zdj
[zdj@localhost ~]$ pwd
/home/zdj
[zdj@localhost ~]$ mkdir test
[zdj@localhost ~]$ podman run -it --name a3 -v "$(pwd)"/test:/abab busybox /bin/sh
Resolving "busybox" using unqualified-search registries (/etc/containers/registries.conf)
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob b71f96345d44 done
Copying config 69593048aa done
Writing manifest to image destination
Storing signatures
/ # touch abab/test
/ # ls -l abab/test
-rw-r--r-- 1 root root 0 Aug 12 13:15 aabb/test
/ # exit
[zdj@localhost ~]$ ll
总用量 0
drwxrwxr-x. 2 zdj zdj 17 8月 12 13:12 test
--userns=keep-id标志,以确保用户被映射到容器内自己的UID和GID
[zdj@localhost ~]$ podman run -it --name a4 -v "$(pwd)"/test:/abab --userns=keep-id busybox /bin/sh
~ $ touch abab/test
~ $ ls -l aabb/
total 0
-rw-r--r-- 1 zdj zdj 0 Aug 12 13:18 test
-rw-r--r-- 1 zdj zdj 0 Aug 12 13:18 ll
[zdj@localhost ~]$ ll test/
总用量 0
-rw-rw-r--. 1 zdj zdj 0 8月 12 13:12 zdj
-rw-r--r-- 1 zdj zdj 0 8月 12 13:20 ll
//使用普通用户映射容器端口时会报“ permission denied”的错误
[zdj@localhost ~]$ podman run --name nginx -d -p 80:80 nginx
Error: rootlessport cannot expose privileged port 80, you can add 'net.ipv4.ip_unprivileged_port_start=80' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024): listen tcp 0.0.0.0:80: bind: permission denied
可用映射>=1024的端口
[zdj@localhost ~]$ podman run --name a0 -d -p 1025:80 nginx
7740e8960c944116a1de8acfd615c26fd87d4c1cd9a61b4f7d12b6452f326064
[zdj@localhost ~]$ ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
LISTEN 0 128 *:1025 *:*
配置echo ‘net.ipv4.ip_unprivileged_port_start=80’ >> /etc/sysctl.conf
[root@localhost ~]# echo 'net.ipv4.ip_unprivileged_port_start=80' >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p
net.ipv4.ip_unprivileged_port_start = 80
[zdj@localhost ~]$ podman run --name nginx1 -d -p 80:80 nginx
3916e1496dceb9c16d9b268312fa790c8d2215977cc44d05c474768bc84fc6e5
[zdj@localhost ~]$ podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
7740e8960c94 docker.io/library/nginx:latest nginx -g daemon o... 2 minutes ago Up 2 minutes ago 0.0.0.0:1025->80/tcp a0
3916e1496dce docker.io/library/nginx:latest nginx -g daemon o... 5 seconds ago Up 5 seconds ago 0.0.0.0:80->80/tcp nginx1
podman网络配置
port
[root@localhost ~]# podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
e7818ccff6ff docker.io/library/nginx nginx -g daemon o... 10 days ago Up 2 seconds ago 0.0.0.0:39997->80/tcp t2
[root@localhost ~]# podman port e7818ccff6ff
80/tcp -> 0.0.0.0:39997
[root@localhost ~]# podman run -it --rm --net slirp4netns:allow_host_loopback=true bash
Resolving "bash" using unqualified-search registries (/etc/containers/registries.conf)
Trying to pull docker.io/library/bash:latest...
Getting image source signatures
Copying blob ec83969a912d done
Copying blob 339de151aab4 done
Copying blob f0512d9ab85b done
Copying config d057f4d6e5 done
Writing manifest to image destination
Storing signatures
bash-5.1# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: tap0: <BROADCAST,UP,LOWER_UP> mtu 65520 qdisc fq_codel state UNKNOWN qlen 1000
link/ether b6:14:33:4e:82:95 brd ff:ff:ff:ff:ff:ff
inet 192.168.100.0/24 brd 192.168.100.1 scope global tap0
valid_lft forever preferred_lft forever
inet6 fe80::b414:33ff:fe4e:8295/64 scope link
valid_lft forever preferred_lft forever
[root@localhost ~]# podman run -it --rm --net slirp4netns:allow_host_loopback=true bash
bash-5.1# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: tap0: <BROADCAST,UP,LOWER_UP> mtu 65520 qdisc fq_codel state UNKNOWN qlen 1000
link/ether ce:42:fe:6e:96:f5 brd ff:ff:ff:ff:ff:ff
inet 192.168.100.0/24 brd 192.168.100.1 scope global tap0
valid_lft forever preferred_lft forever
inet6 fe80::cc42:feff:fe6e:96f5/64 scope link
valid_lft forever preferred_lft forever
创建新的网络
[root@localhost ~]# docker network create mynetwork
[root@localhost ~]# docker network ls
NAME VERSION PLUGINS
podman 0.4.0 bridge,portmap,firewall,tuning
mynetwork 0.4.0 bridge,portmap,firewall,tuning
修改新生成的网络配置文件的子网和网关或者创建时使用–subnet 指定网段和子网掩码,–gateway指定网关
[root@localhost ~]# vim /etc/cni/net.d/mynetwork.conflist
{
"cniVersion": "0.4.0",
"name": "mynetwork",
"plugins": [
{
"type": "bridge",
"bridge": "cni-podman1",
"isGateway": true,
"ipMasq": true,
"hairpinMode": true,
"ipam": {
"type": "host-local",
"routes": [
{
"dst": "0.0.0.0/0"
}
],
"ranges": [
[
{
"subnet": "192.168.100.0/24",
"gateway": "192.168.100.1"
……
修改/usr/share/containers/containers.conf文件设置默认网络为新创建的网络
[root@localhost ~]# vim /usr/share/containers/containers.conf
......
[network]
# Path to directory where CNI plugin binaries are located.
#
# cni_plugin_dirs = ["/usr/libexec/cni"]
.....
default_network = "mynetwork"
……
[root@localhost ~]# docker run -it --rm /bin/bash
bash-5.1# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
3: eth0@if19: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UP
link/ether 2a:12:9f:df:91:eb brd ff:ff:ff:ff:ff:ff
inet 192.168.100.30/24 brd 192.168.100.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::2812:9fff:fedf:91eb/64 scope link tentative
valid_lft forever preferred_lft forever
2994
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
