[系统运维]Docker 大势已去，Podman 即将崛起

什么是podman？

Podman 是一个开源的容器运行时项目，可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样，它不需要在你的系统上运行任何守护进程，并且它也可以在没有 root 权限的情况下运行。

Podman 可以管理和运行任何符合 OCI（Open Container Initiative）规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。

Podman 官网地址：https://podman.io/

安装 Podman

[root@localhost ~]# yum -y install podman

使用 Podman

使用 Podman 非常的简单，Podman 的指令跟 Docker 大多数都是相同的。下面我们来看几个常用的例子：

运行一个容器

[root@localhost ~]# podman run -d --name httpd docker.io/library/httpd
Trying to pull docker.io/library/httpd...
Getting image source signatures
Copying blob e5ae68f74026 done  
Copying blob d3576f2b6317 done  
Copying blob bc36ee1127ec done  
Copying blob f1aa5f54b226 done  
Copying blob aa379c0cedc2 done  
Copying config ea28e1b82f done  
Writing manifest to image destination
Storing signatures
0492e405b9ecb05e6e6be1fec0ac1a8b6ba3ff949df259b45146037b5f355035

//查看镜像
[root@localhost ~]# podman images
REPOSITORY                  TAG      IMAGE ID       CREATED       SIZE
docker.io/library/httpd     latest   ea28e1b82f31   11 days ago   148 MB

运行示例容器

此示例容器将运行一个非常基本的 httpd 服务器，该服务器仅提供其索引页面。

podman run -dt -p 8080:8080/tcp -e HTTPD_VAR_RUN=/run/httpd -e HTTPD_MAIN_CONF_D_PATH=/etc/httpd/conf.d \ 
                  -e HTTPD_MAIN_CONF_PATH=/etc/httpd/conf \ 
                  -e HTTPD_CONTAINER_SCRIPTS_PATH= share/container-scripts/httpd/\ 
                  registry.fedoraproject.org/f29/httpd /usr/bin/run-httpd

由于容器在分离模式下，由表示正在运行-d在podman run命令，Podman将它运行后打印容器ID。请注意，我们使用端口转发来访问 HTTP 服务器。要成功运行，至少需要 slirp4netns v0.3.0。

列出运行的容器

[root@localhost ~]# podman ps
CONTAINER ID  IMAGE                             COMMAND           CREATED             STATUS                 PORTS  NAMES
0492e405b9ec  docker.io/library/httpd:latest    httpd-foreground  About a minute ago  Up About a minute ago         httpd

注意：如果在ps命令中添加-a，Podman 将显示所有容器。

检查正在运行的容器

您可以“检查”正在运行的容器的元数据和有关其自身的详细信息。我们甚至可以使用 inspect 子命令查看分配给容器的 IP 地址。由于容器以无根模式运行，因此未分配 IP 地址，并且该值将在检查的输出中列为“无”。

[root@localhost ~]# podman inspect -l | grep IPAddress\": 
            "SecondaryIPAddresses": null, 
            "IPAddress": "10.88.0.5",

[root@localhost ~]# curl 10.88.0.5
<html><body><h1>It works!</h1></body></html>

注意： -l 是最新容器的便利参数。您还可以使用容器的 ID 代替 -l。

查看一个运行中容器的日志

选项
	--latest		#最近的
	
[root@localhost ~]# podman logs --latest
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.88.0.5. Set the 'ServerName' directive globally to suppress this message
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.88.0.5. Set the 'ServerName' directive globally to suppress this message
[Mon Dec 13 15:17:53.690844 2021] [mpm_event:notice] [pid 1:tid 140665160166720] AH00489: Apache/2.4.51 (Unix) configured -- resuming normal operations
[Mon Dec 13 15:17:53.690946 2021] [core:notice] [pid 1:tid 140665160166720] AH00094: Command line: 'httpd -D FOREGROUND'
10.88.0.1 - - [13/Dec/2021:15:19:48 +0000] "GET / HTTP/1.1" 200 45
10.88.0.1 - - [13/Dec/2021:15:20:47 +0000] "GET / HTTP/1.1" 200 45

查看一个运行容器中的进程资源使用情况

可以使用top观察容器中的 nginx pid

语法：
	podman top <container_id>  
	
[root@localhost ~]# podman top httpd
USER       PID   PPID   %CPU    ELAPSED            TTY   TIME   COMMAND
root       1     0      0.000   15m38.599711321s   ?     0s     httpd -DFOREGROUND 
www-data   7     1      0.000   15m38.599783256s   ?     0s     httpd -DFOREGROUND 
www-data   8     1      0.000   15m38.599845342s   ?     0s     httpd -DFOREGROUND 
www-data   9     1      0.000   15m38.599880444s   ?     0s     httpd -DFOREGROUND 

停止一个运行中的容器

[root@localhost ~]# podman stop --latest
2f3edf712621d3a41e03fa8c7f6a5cdba56fbbad43a7a59ede26cc88f31006c4
[root@localhost ~]# podman ps
CONTAINER ID  IMAGE  COMMAND  CREATED  STATUS  PORTS  NAMES

删除一个容器

[root@localhost ~]# podman rm --latest
2f3edf712621d3a41e03fa8c7f6a5cdba56fbbad43a7a59ede26cc88f31006c4
[root@localhost ~]# podman ps -a
CONTAINER ID  IMAGE  COMMAND  CREATED  STATUS  PORTS  NAMES

以上这些特性基本上都和 Docker 一样，Podman 除了兼容这些特性外，还支持了一些新的特性。

上传镜像

例如，如果我们想在 docker.io 上分享我们新建的 Nginx 容器镜像，这很容易。首先登录码头：

[root@localhost ~]# podman login docker.io

//输入：
Username: USERNAME（1314444）
Password: ********（密码）
Login Succeeded!

//接下来，标记图像，以便我们可以将其推送到我们的用户帐户中：
[root@localhost ~]# podman tag localhost/nginx docker.io/1314444/nginx


//最后，推送镜像：
[root@localhost ~]# podman push docker.io/1314444/nginx
Getting image source signatures
Copying blob 38c40d6c2c85 done
Copying blob fee76a531659 done
Copying blob c2adabaecedb done
Copying config 7f3589c0b8 done
Writing manifest to image destination
Copying config 7f3589c0b8 done
Writing manifest to image destination
Storing signatures


//请注意，我们将四层推送到我们的注册表，现在可供其他人共享。快速浏览一下：
[root@localhost ~]# podman inspect docker.io/1314444/nginx
//输出：
[
    {
        "Id": "7f3589c0b8849a9e1ff52ceb0fcea2390e2731db9d1a7358c2f5fad216a48263",
        "Digest": "sha256:7822b5ba4c2eaabdd0ff3812277cfafa8a25527d1e234be028ed381a43ad5498",
        "RepoTags": [
            "docker.io/1314444/nginx:latest",
		......

总而言之，Podman 使查找、运行、构建和共享容器变得容易。

迁移容器

Podman 支持将容器从一台机器迁移到另一台机器。

首先，在源机器上对容器设置检查点，并将容器打包到指定位置。

[root@localhost ~]# podman container checkpoint <container_id> -e /tmp/checkpoint.tar.gz
[root@localhost ~]# scp /tmp/checkpoint.tar.gz <destination_system>:/tmp

其次，在目标机器上使用源机器上传输过来的打包文件对容器进行恢复。

[root@localhost ~]# podman container restore -i /tmp/checkpoint.tar.gz

配置别名

如果习惯了使用 Docker 命令，可以直接给 Podman 配置一个别名来实现无缝转移。你只需要在 .bashrc 下加入以下行内容即可：

[root@localhost ~]# echo "alias docker=podman" >> .bashrc$ source .bashrc

用户操作

在允许没有root特权的用户运行Podman之前，管理员必须安装或构建Podman并完成以下配置
cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源，如果使用cgroupV2启用了运行Podman的Linux发行版，则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2，必须切换到备用OCI运行时crun。

[root@localhost ~]# yum  -y install crun

或用于通过改变用于在“默认OCI运行时”的值的所有的命令containers.conf在系统级或在任一文件的用户级别从runtime = "runc"到runtime = "crun"。

可以修改containers.conf文件runtime = "runc"到runtime = “crun”

安装slirp4netns和fuse-overlayfs

slirp4nets包为普通用户提供一种网络模式
在普通用户环境中使用Podman时，建议使用fuse-overlayfs而不是VFS文件系统

[root@localhost ~]# yum -y install slirp4netns
[root@localhost ~]# yum -y install fuse-overlayfs

配置storage.conf文件
将to driver下的选项[storage]改为"overlay"并将mount_program选项指向可执行文件[storage.options]的路径fuse-overlayfs：

[root@localhost ~]#  vi /etc/containers/storage.conf
[storage]
  driver = "overlay"		#此处改为overlay

  (...)

[storage.options]

  (...)

  mount_program = "/usr/bin/fuse-overlayfs"		#取消注释

/ etc / subuid和/ etc / subgid配置

Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件

[root@localhost ~]# yum -y install shadow-utils

可以在/ etc / subuid和/ etc / subgid查看，每个用户的值必须唯一且没有任何重叠。

[root@localhost ~]# useradd zz
[root@localhost ~]# cat /etc/subuid
zz:100000:65536
[root@localhost ~]# cat /etc/subgid
zz:100000:65536

• 这个文件的格式是 USERNAME:UID:RANGE

  • 中/etc/passwd或输出中列出的用户名getpwent。
  • 为用户分配的初始 UID。
  • 为用户分配的 UID 范围的大小。

该usermod程序可用于为用户分配 UID 和 GID，而不是直接更新文件。

[root@localhost ~]# usermod --add-subuids 200000-201000 --add-subgids 200000-201000 johndoe
grep johndoe /etc/subuid /etc/subgid
/etc/subuid:johndoe:200000:1001
/etc/subgid:johndoe:200000:1001

用户配置文件

根驻留在Podman配置文件/usr/share/containers与覆盖/etc/containers。在无根环境中，它们驻留在${XDG_CONFIG_HOME}/containers（通常~/.config/containers）中并由每个单独的用户拥有。

三个主要的配置文件是container.conf、storage.conf和registries.conf。用户可以根据需要修改这些文件。

容器配置文件

Podman reads

/etc/share/containers/containers.conf
/etc/containers/containers.conf
$HOME/.config/containers/containers.conf

优先级：$HOME > /etc > /etc

如果它们以该顺序存在。每个文件都可以覆盖特定字段的前一个文件。

普通用户是无法看见root用户的镜像的

[root@localhost ~]# podman images
REPOSITORY                  TAG      IMAGE ID       CREATED       SIZE
docker.io/library/httpd     latest   ea28e1b82f31   11 days ago   148 MB


[root@localhost ~]# su - zz
[zz@localhost ~]$ podman images
REPOSITORY  TAG         IMAGE ID    CREATED     SIZE

使用卷

容器与root用户一起运行，则root容器中的用户实际上就是主机上的用户。UID /
GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID /
GID。如果普通用户的身份从主机目录挂载到容器中，并在该目录中以根用户身份创建文件，则会看到它实际上是你的用户在主机上拥有的。

[zz@localhost ~]$ pwd
/home/zz
[zz@localhost ~]$ mkdir /home/zz/data

[zz@localhost ~]$ podman run -it --name web1 -v /home/zz/data:/data docker.io/library/busyox /bin/sh
Trying to pull docker.io/library/busyox...
Copying blob f1aa5f54b226 done  
Copying blob aa379c0cedc2 done  
Copying config ea28e1b82f done  
Writing manifest to image destination
Storing signatures
/ # ls
bin data dev etc home proc root run sys tmp usr var
/ # cd data/
/data  ls
/data # touch 123
/data # exit

[zz@localhost ~]$ ls
data
[zz@localhost ~]$ ls data
123

--userns=keep-id标志，以确保用户被映射到容器内自己的UID和GID。

[zz@localhost ~]$ podman run -it --name web2 -v "$(pwd)"/data:/data docker.io/library/busyox /bin/sh
~ $ touch data/abc
~ $ ls -l data/
total 0
-rw-r--r--    1 zz zz 0 Dec 14 00:22 123
-rw-r--r--    1 zz zz 0 Dec 14 00:30 abc
~ $ exit

[zz@localhost ~]$ ll data/
总用量 0
-rw-r--r--. 1 zz zz 0 12月  13 00:22 123
-rw-r--r--. 1 zz zz 0 12月  13 00:30 abc