Podman 主要由红帽发起和推动,是下一代的容器技术,包括如下三个模块:Podman,Skopeo和Buildah。
这三个工具都是符合OCI计划下的工具(github/containers)。主要是由RedHat推动的,他们配合可以完成Docker所有的功能,而且不需要守护程序或访问有root权限的组,更加安全可靠,是下一代容器容器工具。
Podman
Podman可以替换Docker中了大多数子命令(RUN,PUSH,PULL等)。Podman不需要守护进程,而是使用用户命名空间来模拟容器中的root,无需连接到具有root权限的套接字保证容器的体系安全。
Podman专注于维护和修改OCI镜像的所有命令和功能,例如拉动和标记。它还允许我们创建,运行和维护从这些图像创建的容器。
Buildah
Buildah用来构建OCI图像。虽然Podman也可以用户构建Docker镜像,但是构建速度超慢,并且默认情况下使用vfs存储驱动程序会耗尽大量磁盘空间。buildah bud(使用Dockerfile构建)则会非常快,并使用覆盖存储驱动程序。
Buildah专注于构建OCI镜像。Buildah的命令复制了Dockerfile中的所有命令。可以使用Dockerfiles构建镜像,并且不需要任何root权限。Buildah的最终目标是提供更低级别的coreutils界面来构建图像。Buildah也支持非Dockerfiles构建镜像,可以允许将其他脚本语言集成到构建过程中。Buildah遵循一个简单的fork-exec模型,不以守护进程运行,但它基于golang中的综合API,可以存储到其他工具中。
Skopeo
Skopeo是一个工具,允许我们通过推、拉和复制镜像来处理Docker和OC镜像。
Podman和Buildah对比
Buildah构建容器,Podman运行容器,Skopeo传输容器镜像。这些都是由Github容器组织维护的开源工具(github/containers)。这些工具都不需要运行守护进程,并且大多数情况下也不需要root访问权限。
Podman和Buildah之间的一个主要区别是他们的容器概念。Podman允许用户创建”传统容器”。虽然Buildah容器实际上只是为了允许将内容添加回容器图像而创建的。一种简单方法是buildah run命令模拟Dockerfile中的RUN命令,而podman run命令模拟功能中的docker run命令。
简而言之,Buildah是创建OCI图像的有效方式,而Podman允许我们使用熟悉的容器cli命令在生产环境中管理和维护这些图像和容器。
安装podman
基本上各大发行版都提供了二进制安装包, 使用系统包管理就可以安装:
# Fedora, CentOS:
sudo yum -y install podman
# Arch & Manjaro Linux:
sudo pacman -S podman
# Ubuntu安装:
sudo apt-get update -qq
sudo apt-get install -qq -y software-properties-common uidmap
sudo add-apt-repository -y ppa:projectatomic/ppa
sudo apt-get update -qq
sudo apt-get -qq -y install podman
podman 镜像
默认镜像库文件 /etc/containers/registries.conf 是设置镜像地址配置文件,默认会搜索 [‘registry.access.redhat.com’, ‘registry.redhat.io’, ‘docker.io’, ‘quay.io’] 由于默认镜像库下载速度非常慢,建议修改镜像库配置文件,可以实现镜像加速下载。
(1)改名并备份好文件:/etc/containers/registries.conf
(2)新建一个空的 registries.conf 文件,插入如下内容
unqualified-search-registries = [“docker.io”]
[[registry]]
prefix = “docker.io”
location = “uyah70su.mirror.aliyuncs.com”
(3) 修改 location
网易:https: //hub-mirror.c.163.com/
阿里云:https: //uyah70su.mirror.aliyuncs.com
七牛云加速器:https: //reg-mirror.qiniu.com
Docker 到 podman 迁移
用podman替换了cron和CI作业中的所有docker实例。完成后第一步后使用sysdig来捕获对docker的引用,看看是否还有其他东西在调用docker:
sysdig | grep -w docker
删除docker
sudo:yum remove docker
或
apt remove -y docker-ce
清理配置文件:
删除/etc/apt/*或者/etc/yum.repos.d/*中指向Docker的源
删除/etc/docker/*,/etc/default/docker和/var/lib/docker中的任何遗留文件
删除docker组:delgroup docker
使用Podman,Skopeo和Buildah的新一代容器架构后,可以解决由于docker守护程序导致的启动和安全问题。使用新架构后除了”没有守护进程”和”不需要sudo访问”之外,没有发现很多不同之处。
构建的容器都位于用户目录下(~/.local/containers中)而不是全局的(在/var/lib/docker中),即面向用户而不是面向守护进程。与Docker相比,podman pull会并行下载获取所有层。
使用Podman运行Docker容器
使用Podman来Pull image
# podman pull ubuntu
# podman images
在容器内运行一个简单的命令
echo "Computing for Geeks" podman run ubuntu /bin/
Computing for Geeks
在Podman中搜索
sudo podman search httpd
在容器中运行shell:
podman run -it ubuntu bash
podman ps
标记images
可以将自定义名称添加到图像中,以使其更直观,并提醒你在设置中图像的作用:
# podman tag 7698f282e524 webserver
# podman images
删除图像
# podman rmi localhost/webserver
检查容器
# podman inspect 024a277cc474
删除容器
# podman ps -a
# podman rm 024a277cc474
# podman rm $(podman ps -a -q)