Podman

lightsong發表於2024-06-14

Podman

https://podman.io/

The best free & open source container tools

Manage containers, pods, and images with Podman. Seamlessly work with containers and Kubernetes from your local environment.

advantage

https://www.redhat.com/zh/topics/containers/what-is-podman#podman-%E6%9C%89%E4%BB%80%E4%B9%88%E7%8B%AC%E7%89%B9%E4%B9%8B%E5%A4%84%EF%BC%9F

Podman 與其他容器引擎的區別在於它沒有守護程序。守護程序是在系統後臺執行的程序,可在無使用者介面的情況下完成執行容器的繁重工作。我們可以把守護程序看作在使用者和容器本身之間通訊的中介。

儘管守護程序有助於容器環境的管理,但它們也可能會帶來安全漏洞。許多守護程序使用根特權來執行。在 Linux 系統中,根帳戶作為具有管理員訪問許可權(同時無需進行管理員驗證)的超級使用者,可以讀取檔案、安裝程式、編輯應用和執行其他操作。如此一來,對於企圖控制您的容器並滲透主機系統的駭客而言,守護程序就是他們的理想攻擊目標。

Podman 剔除了守護程序,允許普通使用者無需與由根帳戶所有的守護程序互動就能執行容器,或者允許使用無根容器。透過無根形式,使用者無需使用具有管理員特權的程序,就能建立、執行和管理容器,不僅使容器環境變得更易訪問,又可降低安全性風險。此外,Podman 使用安全增強型 Linux (SELinux)標籤來啟動各個容器,提高了管理員控制向容器程序提供哪些資源和功能的掌控力。

相容docker-compose

https://github.com/containers/podman-compose

An implementation of Compose Spec with Podman backend. This project focuses on:

  • rootless
  • daemon-less process model, we directly execute podman, no running daemon.

相容k8s

https://www.redhat.com/sysadmin/compose-podman-pods

Kubernetes Ready

Create, start, inspect, and manage pods. Play Kubernetes YAML directly with Podman, generate Kubernetes YAML from pods, and deploy to existing Kubernetes environments.

相關文章