Podman : 简介
Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。
Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。
官网地址 : https://podman.io/
Podman 项目地址 :https://github.com/containers/libpod
一、Podman Install
Podman 目前已支持大多数发行版本通过软件包来进行安装。
- Fedora / CentOS
# 安装podman
yum -y install podman
# 仓库配置
vim /etc/containers/registries.conf
# 输入以下内容
[registries.search]
registries = ['registry.access.redhat.com', 'registry.redhat.io', 'docker.io'] //这个是查找,从这三个地方查找,如果只留一个,则只在一个源里查找
unqualified-search-registries = ["registry.fedoraproject.org", "registry.access.redhat.com", "registry.centos.org", "docker.io"] //这里也要改为一个
[registries.insecure]
registries = [10.0.0.1] //这里写那些http的仓库,比如harbor
# 配置加速器
[registries.search]
registries = ['https://l9h8fu9j.mirror.aliyuncs.com','docker.io']
- Ubuntu
sudo apt-get update -qq
sudo apt-get install -qq -y software-properties-common uidmap
sudo add-apt-repository -y ppa:projectatomic/ppa
sudo apt-get update -qq
sudo apt-get -qq -y install podman
- MacOS
brew cask install podman
- RHEL 7
sudo subscription-manager repos --enable=rhel-7-server-extras-rpms
sudo yum -y install podman
- Arch Linux
sudo pacman -S podman
二、Podman 使用
使用 Podman 非常的简单,Podman 的指令跟 Docker 大多数都是相同的
常用命令
容器
podman run 创建并启动容器
podman start #启动容器
podman ps #查看容器
podman stop #终止容器
podman restart #重启容器
podman attach #进入容器
podman exec #进入容器
podman export #导出容器
podman import #导入容器快照
podman rm #删除容器
podman logs #查看日志
镜像
podman search #检索镜像
docke pull #获取镜像
podman images #列出镜像
podman image Is #列出镜像
podman rmi #删除镜像
podman image rm #删除镜像
podman save #导出镜像
podman load #导入镜像
podmanfile #定制镜像(三个)
podman build #构建镜像
podman run #运行镜像
podmanfile #常用指令(四个)
COPY #复制文件
ADD #高级复制
CMD #容器启动命令
ENV #环境变量
EXPOSE #暴露端口
使用栗子
列出运行的容器
podman ps -a
注意:如果在ps命令中添加-a,Podman 将显示所有容器。
查看镜像
podman images
分析正在运行的容器
podman inspect -l | grep IPAddress\":
"SecondaryIPAddresses": null,
"IPAddress": "",
注意:-l 是最新容器的便利参数。您还可以使用容器的 ID 代替 -l
查看一个运行中容器的日志
podman logs --latest
查看一个运行容器中的进程资源使用情况
podman top <container_id>
停止一个运行中的容器
podman stop --latest
删除一个容器
podman rm --latest
上传镜像
[root@localhost nginx]# tree
.
├── Dockerfile
└── files
└── nginx-1.31.1.tar.gz
[root@localhost nginx]# cat Dockerfile
FROM docker.io/library/centos
ENV PATH /usr/local/nginx/sbin:$PATH
ADD files/nginx-1.20.1.tar.gz /usr/src
RUN useradd -r -M -s /sbin/nologin nginx && \
yum -y install pcre-devel openssl openssl-devel gd-devel gcc gcc-c++ make && \
mkdir -p /var/log/nginx && \
cd /usr/src/nginx-1.20.1 && \
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-debug \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_image_filter_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module \
--http-log-path=/var/log/nginx/access.log \
--error-log-path=/var/log/nginx/error.log && \
make && make install
CMD ["nginx","-g","daemon off"]
[root@localhost nginx]# podman build -t nginx .
// 修改镜像名
[root@localhost ~]# podman tag docker.io/library/nginx:latest docker.io/123456789/test:latest
// 登录并上传镜像
[root@localhost ~]# podman login docker.io // 需要告诉其要登录到docker仓库
[root@localhost ~]# podman login docker.io
Username: 123456789 #账户
Password: ******** #密码
Login Succeeded!
[root@localhost nginx]# podman push docker.io/123456789/test:latest //上传镜像
Getting image source signatures
Storing signatures
// 请注意,我们将四层推送到我们的注册表,现在可供其他人共享。快速浏览一下:
[root@localhost ~]# podman inspect 123456789/test:nginx
// 输出:
[
{
"Id": "7f3589c0b8849a9e1ff52ceb0fcea2390e2731db9d1a7358c2f5fad216a48263",
"Digest": "sha256:7822b5ba4c2eaabdd0ff3812277cfafa8a25527d1e234be028ed381a43ad5498",
......
以上这些特性基本上都和 Docker 一样,Podman 除了兼容这些特性外,还支持了一些新的特性。
给容器设置一个检查点
podman container checkpoint <container_id>
需要 CRIU 3.11 以上版本支持,CRIU 项目地址:
https://criu.org/
根据检查点位置恢复容器
podman container restore <container_id>
迁移容器
Podman 支持将容器从一台机器迁移到另一台机器。
首先,在源机器上对容器设置检查点,并将容器打包到指定位置
podman container checkpoint <container_id> -e /tmp/checkpoint.tar.gz
scp /tmp/checkpoint.tar.gz <destination_system>:/tmp
其次,在目标机器上使用源机器上传输过来的打包文件对容器进行恢复。
podman container restore -i /tmp/checkpoint.tar.gz
配置别名
如果习惯了使用 Docker 命令,可以直接给Podman 配置一个别名来实现无缝转移。你只需要在 .bashrc 下加入以下行内容即可:
echo "alias docker=podman" >> .bashrc
source .bashrc
# 使用 alias 命令查看别名
alias cp='cp -i'
alias docker='podman'
Podman 实现开机重启容器
由于 Podman 不再使用守护进程管理服务,所以不能通过守护进程去实现自动重启容器的功能。
大多数系统都已经采用 Systemd 作为守护进程管理工具。这里我们就可以使用 Systemd 来实现 Podman 开机重启容器,这里我们以启动一个 Nginx 容器为例子。
首先,我们先运行一个 Nginx 容器
podman run -t -d -p 80:80 --name nginx nginx
然后,在建立一个 Systemd 服务配置文件
vim /etc/systemd/system/nginx_container.service
[Unit]
Description=Podman Nginx Service
After=network.target
After=network-online.target
[Service]
Type=simple
ExecStart=/usr/bin/podman start -a nginx
ExecStop=/usr/bin/podman stop -t 10 nginx
Restart=always
[Install]
WantedBy=multi-user.target
接下来,启用这个 Systemd 服务
systemctl daemon-reload
systemctl enable nginx_container.service
systemctl start nginx_container.service
服务启用成功后,我们可以通过 systemctl status 命令查看到这个服务的运行状况
systemctl status nginx_container.service
之后每次系统重启后 Systemd 都会自动启动这个服务所对应的容器。
用户操作
在允许没有 root 特权的用户运行 Podman 之前,管理员必须安装或构建 Podman 并完成以下配置。
cgroup V2Linux 内核功能允许用户限制普通用户容器可以使用的资源,如果使用 cgroupV2 启用了运行 Podman 的 Linux 发行版,则可能需要更改默认的 OCI 运行时。某些较旧的版本 runc 不适用于cgroupV2 ,必须切换到备用 OCI 运行时 crun
yum -y install crun //centos8系统自带
vim /usr/share/containers/containers.conf
446 # Default OCI runtime
447 #
448 runtime = "crun" //取消注释并将runc改为crun
podman run -d --name web -p 80:80 docker.io/library/nginx
podman inspect web | grep crun
用户配置文件
三个主要的配置文件是 container.conf 、 storage.conf 和 registries.conf 。
用户可以根据需要修改这些文件
- container.conf
// 用户配置文件
cat /usr/share/containers/containers.conf
cat /etc/containers/containers.conf
cat ~/.config/containers/containers.conf //优先级最高
如果它们以该顺序存在。每个文件都可以覆盖特定字段的前一个文件
- 配置 storage.conf 文件
/etc/containers/storage.conf
$HOME/.config/containers/storage.conf
在普通用户中/etc/containers/storage.conf的一些字段将被忽略
vim /etc/containers/storage.conf
༺输出༻
[storage]
# Default Storage Driver, Must be set for proper operation.
driver = "overlay" #此处改为overlay
.......
mount_program = "/usr/bin/fuse-overlayfs" #取消注释
# 如果版本为8以下,则需要做以下操作:
sysctl user.max_user_namespaces=15000
在普通用户中这些字段默认
graphroot="$HOME/.local/share/containers/storage"
runroot="$XDG_RUNTIME_DIR/containers"
- registries.conf
配置按此顺序读入,这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改。
/etc/containers/registries.conf
/etc/containers/registries.d/*
HOME/.config/containers/registries.conf
授权文件
此文件里面写了docker账号的密码,以加密方式显示
[root@localhost ~]# podman login
Login Succeeded!
[root@localhost ~]# cat /run/user/0/containers/auth.json
{
"auths": {
"registry.fedoraproject.org": {
"auth": "xxxxxxxxxxxxxxxxxxxxxxxx"
}
}
}
普通用户是无法查看 root 用户的镜像
安装 slirp4netns 和 fuse-overlayfs
在普通用户环境中使用 Podman 时,建议使用 fuse-overlayfs 而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。
yum -y install slirp4netns
yum -y install fuse-overlayfs
vim /etc/containers/storage.conf
77 mount_program = "/usr/bin/fuse-overlayfs" //取消注释
/etc/subuid 和 /etc/subgid 配置
Podman要求运行它的用户在 /etc/subuid 和 /etc/subgid 文件中列出一系列 UID , shadow-utils 或newuid 包提供这些文件
yum -y install shadow-utils
可以在 /etc/subuid 和 /etc/subgid 查看,每个用户的值必须唯一且没有任何重叠
useradd zz
cat /etc/subuid
༺输出༻
zz:100000:65536
cat /etc/subgid
༺输出༻
zz:100000:65536
// 启动非特权ping
// 大于100000这个就表示tom可以操作podman
sysctl -w "net.ipv4.ping_group_range=0 200000"
༺输出༻
net.ipv4.ping_group_range = 0 200000
这个文件的格式是 USERNAME:UID:RANGE
该 usermod 程序可用于为用户分配 UID 和 GID,而不是直接更新文件
usermod --add-subuids 200000-201000 --add-subgids 200000-201000 hh
༺ 输出 ༻
grep hh /etc/subuid /etc/subgid
/etc/subuid:hh:200000:1001
/etc/subgid:hh:200000:1001
三、Extended Reading
Docker Compare
Podman 原来是 CRI-O 项目的一部分,后来被分离成一个单独的项目叫 libpod 。Podman 的使用体验和 Docker 类似,不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候,Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」,然后 Docker Engine 才会通过 OCI Container runtime(默认是 runc) 来启动一个容器。这就意味着容器的进程不可能是 Docker CLI 的子进程,而是 Docker Engine 的子进程。
Podman 比较简单粗暴,它不使用 Daemon,而是直接通过 OCI runtime(默认也是 runc)来启动容器,所以容器的进程是 podman 的子进程。这比较像 Linux 的 fork/exec 模型 ,而 Docker 采用的是 C/S(客户端/服务器)模型。与 C/S 模型相比,fork/exec 模型 有很多优势,比如:
- 系统管理员可以知道某个容器进程到底是谁启动的。
- 如果利用
cgroup对 podman 做一些限制,那么所有创建的容器都会被限制。 -
SD_NOTIFY: 如果将 podman 命令放入 systemd 单元文件中,容器进程可以通过 podman 返回通知,表明服务已准备好接收任务。 - socket 激活 : 可以将连接的 socket 从
systemd传递到 podman,并传递到容器进程以便使用它们。
Podman和Docker的主要区别
- dockers在实现
CRI的时候,它需要一个守护进程,其次需要以 root 运行,因此这也带来了安全隐患。 - podman 不需要守护程序,也不需要root用户运行,从逻辑架构上,比docker更加合理。
- 在 docker 的运行体系中,需要多个 daemon 才能调用到OCI的实现
RunC。 - 在容器管理的链路中,Docker Engine的实现就是 dockerd
- daemon,它在linux中需要以 root 运行,dockerd 调用 containerd,containerd 调用
containerd-shim,然后才能调用runC。顾名思义 shim 起的作用也就是“垫片”,避免父进程退出影响容器的运训 - podman直接调用OCI , runtime(runC),通过 common 作为容器进程的管理工具,但不需要 dockerd 这种以 root 身份运行的守护进程。
- 在podman体系中,有个称之为 common 的守护进程,其运行路径通是
/usr/libexec/podman/conmon,它是各个容器进程的父进程,每个容器各有一个,common 的父则通常是1号进程。podman中的 common 其实相当于 docker 体系中的 containerd-shim。
Podman使用时 与 docker 的区别
-
podman 的定位也是与 docker 兼容,因此在使用上面尽量靠近 docker。在使用方面,可以分成两个方面来说,一是系统构建者的角度,二是使用者的角度。
-
在系统构建者方面,用 podman 的默认软件,与 docker 的区别不大,只是在进程模型、进程关系方面有所区别。如果习惯了 docker 几个关联进程的调试方法,在 podman 中则需要适应。可以通过pstree 命令查看进程的树状结构。总体来看,podman 比 docker 要简单。由于 podman 比 docker少 了一层 daemon,因此重启的机制也就不同了。
-
在使用者方面,podman与docker的命令基本兼容,都包括容器运行时(
run/start/kill/ps/inspect),本地镜像(images/rmi/build)、镜像仓库(login/pull/push)等几个方面。因此 podman 的命令行工具与 docker 类似,比如构建镜像、启停容器等。甚至可以通过alias docker=podman可以进行替换。因此,即便使用了podman,仍然可以使用docker.io作为镜像仓库,这也是兼容性最关键的部分。
OCI (Open Container Initiative)
OCI 是一个轻量级,开放的 治理结构(项目)。在 Linux 基金会的支持下成立,致力于围绕容器格式和运行时创建开放的行业标准。
OCI 项目由 Docker、CoreOS 和容器行业中的其它领导者在 2015 年 6 月的时候启动,OCI 的技术委员会成员包括 Red Hat、Microsoft、Docker、Cruise、IBM、Google、Red Hat 和 SUSE 等。
CRI(Container Runtime Interface)
CRI(Container Runtime Interface)是 Kubernetes v1.5 引入的容器运行时接口,它将 Kubelet 与容器运行时解耦,将原来完全面向 Pod 级别的内部接口拆分成面向 Sandbox 和 Container 的 gRPC 接口,并将镜像管理和容器管理分离到不同的服务。
CNI(Container Network Interface)
CNI(Container Network Interface)是 CNCF 旗下的一个项目,是 Google 和 CoreOS 主导制定的容器网络标准。CNI 包含方法规范、参数规范等,是 Linux 容器网络配置的一组标准和库,用户可以根据这些标准和库来开发自己的容器网络插件。CNI 已经被 Kubernetes、Mesos、Cloud Foundry、RKT 等使用,同时 Calico、Weave 等项目都在为 CNI 提供插件。