導讀	容器是現代計算的一個重要組成部分，隨著圍繞容器的基礎設施的發展，新的和更好的工具開始浮出水面。過去，你只需用 LXC 就可以執行容器，然而隨著 Docker 得到了普及，它開始變得越來越複雜。最終，我們在 Podman 得到了我們所期望的容器管理系統：一個無守護程式的容器引擎，它使容器和吊艙易於構建、執行和管理。

容器直接與核心能力（如控制組和名稱空間）互動，它們在這些名稱空間中產生大量的新程式。簡而言之，執行一個容器實際上就是在 Linux 系統內部執行一個 Linux 系統。從作業系統的角度來看，它看起來非常像一種管理和特權活動。普通使用者通常不能像容器那樣自由支配系統資源，所以預設情況下，執行 Podman 需要 root 或 sudo 許可權。然而，這只是預設設定，而且這絕不是唯一可用的設定。本文演示瞭如何配置你的 Linux 系統，使普通使用者可以在不使用 sudo 的情況下（“無根rootless”）執行 Podman。

名稱空間的使用者 ID

核心名稱空間本質上是一種虛構的結構，可幫助 Linux 跟蹤哪些程式屬於同一類。這是 Linux 中的“佇列護欄”。一個佇列中的程式與另一個佇列中的程式之間實際上沒有區別，但可以將它們用“警戒線”彼此隔離。要宣告一組程式為“容器”，而另一組程式為你的作業系統，將它們分開是關鍵。

Linux 透過使用者 ID（UID）和組 ID（GID）來跟蹤哪個使用者或組擁有的程式。通常情況下，一個使用者可以訪問一千個左右的從屬 UID，以分配給名稱空間的子程式。由於 Podman 執行的是分配給啟動容器的使用者的整個從屬作業系統，因此你需要的不僅僅是預設分配的從屬 UID 和從屬 GID。

你可以用 usermod 授予一個使用者更多的從屬 UID 和從屬 GID。例如，要授予使用者 tux 更多的從屬 UID 和從屬 GID，選擇一個還沒分配使用者的適當的高 UID（如 200000），然後將其增加幾千：

$ sudo usermod \
--add-subuids 200000-265536 \
--add-subgids 200000-265536 \
tux

名稱空間訪問

對名稱空間數量也有限制。這通常被設定得很高。你可以用 systctl，即核心引數工具來驗證使用者的名稱空間分配：

$ sysctl --all --pattern user_namespaces
user.max_user_namespaces = 28633

這是很充足的名稱空間，而且可能是你的發行版預設設定的。如果你的發行版沒有這個屬性或者設定得很低，那麼你可以在檔案 /etc/sysctl.d/userns.conf 中輸入這樣的文字來建立它：

user.max_user_namespaces=28633

載入該設定：

$ sudo sysctl -p /etc/sysctl.d/userns.conf

在沒有 root 許可權的情況下執行一個容器

當你設定好你的配置，重啟你的計算機，以確保你的使用者和核心引數的變化被載入和啟用。

重啟後，試著執行一個容器映象：

$ podman run -it busybox echo "hello"
hello

容器像一樣

如果你是第一次接觸容器，可能會覺得很神秘，但實際上，它們與你現有的 Linux 系統沒有什麼不同。它們實際上是在你的系統上執行的程式，沒有模擬環境或虛擬機器的成本和障礙。容器和你的作業系統之間的區別只是核心名稱空間，所以它們實際上只是帶有不同標籤的本地程式。Podman 使這一點比以往更加明顯，當你將 Podman 配置為無根命令，容器感覺更像命令而不是虛擬環境。Podman 使容器和吊艙變得簡單，所以請試一試。

原文來自：

無需sudo使用Podman在Linux上執行容器

相關文章