安嶶省城乡建设网站wordpress翻译中文
2026/5/21 4:35:10
商城网站建设公司排行自助网站建设厦门网站制作
商城网站建设公司排行,自助网站建设厦门网站制作,笔记wordpress,淘宝代运营什么是Podman#xff1f; Podman 是一个开源的容器运行时项目#xff0c;可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样#xff0c;它不需要在你的系统上运行任何守护进程#xff0c;并且它也可以在没有 root 权限的情况下运行。…什么是PodmanPodman 是一个开源的容器运行时项目可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样它不需要在你的系统上运行任何守护进程并且它也可以在没有 root 权限的情况下运行。podman run 创建并启动容器 podman start 启动容器 podman ps 查看容器 podman stop 终止容器 podman restart 重启容器 podman attach 进入容器 podman exec 进入容器 podman export 导出容器 podman import 导入容器快照 podman rm 删除容器 podman logs 查看日志Podman 可以管理和运行任何符合 OCIOpen Container Initiative规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。podman search 检索镜像 podman pull 获取镜像 podman images 列出镜像 podman image Is 列出镜像 podman rmi 删除镜像 podman image rm 删除镜像 podman save 导出镜像 podmanload 导入镜像 podmanfile 定制镜像三个 podmanbuild 构建镜像 podman run 运行镜像 podmanfile 常用指令四个 COPY 复制文件 ADD 高级复制 CMD 容器启动命令 ENV 环境变量 EXPOSE 暴露端口Podman 官网地址https://podman.io/Podman和Docker的主要区别是什么dockers在实现CRI的时候它需要一个守护进程其次需要以root运行因此这也带来了安全隐患。podman不需要守护程序也不需要root用户运行从逻辑架构上比docker更加合理。在docker的运行体系中需要多个daemon才能调用到OCI的实现RunC。在容器管理的链路中Docker Engine的实现就是dockerddaemon它在linux中需要以root运行dockerd调用containerdcontainerd调用containerd-shim然后才能调用runC。顾名思义shim起的作用也就是“垫片”避免父进程退出影响容器的运行podman直接调用OCI,runtimerunC通过common作为容器进程的管理工具但不需要dockerd这种以root身份运行的守护进程。在podman体系中有个称之为common的守护进程其运行路径通常是/usr/libexec/podman/conmon它是各个容器进程的父进程每个容器各有一个common的父则通常是1号进程。podman中的common其实相当于docker体系中的containerd-shim。图中所体现的事情是podman不需要守护进程而dorker需要守护进程。在这个图的示意中dorcker的containerd-shim与podman的common被归在Container一层。Podman的使用与docker有什么区别podman的定位也是与docker兼容因此在使用上面尽量靠近docker。在使用方面可以分成两个方面来说一是系统构建者的角度二是使用者的角度。在系统构建者方面用podman的默认软件与docker的区别不大只是在进程模型、进程关系方面有所区别。如果习惯了docker几个关联进程的调试方法在podman中则需要适应。可以通过pstree命令查看进程的树状结构。总体来看podman比docker要简单。由于podman比docker少了一层daemon因此重启的机制也就不同了。在使用者方面podman与docker的命令基本兼容都包括容器运行时run/start/kill/ps/inspect本地镜像images/rmi/build、镜像仓库login/pull/push等几个方面。因此podman的命令行工具与docker类似比如构建镜像、启停容器等。甚至可以通过aliasdockerpodman可以进行替换。因此即便使用了podman仍然可以使用docker.io作为镜像仓库这也是兼容性最关键的部分。02Podman 常用命令容器podman run 创建并启动容器 podman start 启动容器 podman ps 查看容器 podman stop 终止容器 podman restart 重启容器 podman attach 进入容器 podman exec 进入容器 podman export 导出容器 podman import 导入容器快照 podman rm 删除容器 podman logs 查看日志镜像podman search 检索镜像 podman pull 获取镜像 podman images 列出镜像 podman image Is 列出镜像 podman rmi 删除镜像 podman image rm 删除镜像 podman save 导出镜像 podmanload 导入镜像 podmanfile 定制镜像三个 podmanbuild 构建镜像 podman run 运行镜像 podmanfile 常用指令四个 COPY 复制文件 ADD 高级复制 CMD 容器启动命令 ENV 环境变量 EXPOSE 暴露端口部署 Podman//安装podman [rootlocalhost ~]# yum -y install podmanPodman 加速器版本7配置加速器//仓库配置 [rootlocalhost ~]# vim /etc/containers/registries.conf [registries.search] #registries [registry.access.redhat.com, registry.redhat.io, docker.io] #这个是查找从这三个地方查找 registries [docker.io]#如果只留一个则只在一个源里查找 [[docker.io]] locationj3m2itm3.mirror.aliyuncs.com版本8配置加速器#unqualified-search-registries [registry.fedoraproject.org, registry.access.redhat.com, registry.centos.org, docker.io] #直接注释掉 unqualified-search-registries [docker.io]#添加一个docker.io [[registry]] prefix docker.io location j3m2itm3.mirror.aliyuncs.com 不用加https:// 直接加地址使用 Podman使用 Podman 非常的简单Podman 的指令跟 Docker 大多数都是相同的。下面我们来看几个常用的例子运行一个容器[rootlocalhost ~]# podman run -d --name httpd docker.io/library/httpd Trying to pull docker.io/library/httpd... Getting imagesource signatures Copying blob e5ae68f74026done Copying blob d3576f2b6317done Copying blob bc36ee1127ecdone Copying blob f1aa5f54b226done Copying blob aa379c0cedc2done Copying config ea28e1b82fdone Writing manifest to image destination Storing signatures 0492e405b9ecb05e6e6be1fec0ac1a8b6ba3ff949df259b45146037b5f355035 //查看镜像 [rootlocalhost ~]# podman images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/library/httpd latest ea28e1b82f31 11 days ago 148 MB列出运行的容器[rootlocalhost ~]# podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 0492e405b9ec docker.io/library/httpd:latest httpd-foreground About a minute ago Up About a minute ago httpd注意如果在ps命令中添加-aPodman 将显示所有容器。检查正在运行的容器您可以“检查”正在运行的容器的元数据和有关其自身的详细信息。我们甚至可以使用 inspect 子命令查看分配给容器的 IP 地址。由于容器以无根模式运行因此未分配 IP 地址并且该值将在检查的输出中列为“无”。[rootlocalhost ~]# podman inspect -l | grep IPAddress\: SecondaryIPAddresses: null, IPAddress: 10.88.0.5, [rootlocalhost ~]# curl 10.88.0.5 htmlbodyh1It works!/h1/body/html注意-l 是最新容器的便利参数。您还可以使用容器的 ID 代替 -l。查看一个运行中容器的日志选项 --latest#最近的 [rootlocalhost ~]# podman logs --latest AH00558:httpd: Couldnot reliably determine the servers fully qualified domain name, using 10.88.0.5. Set the ServerName directive globally to suppress this message AH00558: httpd: Could not reliably determine the servers fully qualified domain name, using10.88.0.5. Set theServerName directive globally to suppress this message [Mon Dec1315:17:53.6908442021] [mpm_event:notice] [pid1:tid140665160166720]AH00489: Apache/2.4.51 (Unix) configured -- resuming normal operations [Mon Dec1315:17:53.6909462021] [core:notice] [pid1:tid140665160166720]AH00094: Commandline:httpd -D FOREGROUND 10.88.0.1 - - [13/Dec/2021:15:19:48 0000]GET / HTTP/1.120045 10.88.0.1 - - [13/Dec/2021:15:20:47 0000]GET / HTTP/1.1200 45查看一个运行容器中的进程资源使用情况可以使用top观察容器中的 nginx pid语法 podmantop container_id [rootlocalhost ~]# podmantophttpd USER PID PPID %CPU ELAPSED TTY TIME COMMAND root 1 0 0.000 15m38.599711321s ? 0s httpd-DFOREGROUND www-data 7 1 0.000 15m38.599783256s ? 0s httpd-DFOREGROUND www-data 8 1 0.000 15m38.599845342s ? 0s httpd-DFOREGROUND www-data 9 1 0.000 15m38.599880444s ? 0s httpd -DFOREGROUND停止一个运行中的容器[rootlocalhost ~]# podman stop --latest 2f3edf712621d3a41e03fa8c7f6a5cdba56fbbad43a7a59ede26cc88f31006c4 [rootlocalhost ~]# podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES删除一个容器[rootlocalhost ~]# podman rm --latest 2f3edf712621d3a41e03fa8c7f6a5cdba56fbbad43a7a59ede26cc88f31006c4 [rootlocalhost ~]# podman ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES以上这些特性基本上都和 Docker 一样Podman 除了兼容这些特性外还支持了一些新的特性。上传镜像例如如果我们想在 docker.io 上分享我们新建的 Nginx 容器镜像这很容易。首先登录码头[rootlocalhost nginx]# tree . ├── Dockerfile └── files └── nginx-1.20.1.tar.gz [rootlocalhost nginx]# cat Dockerfile FROM docker.io/library/centos ENV PATH /usr/local/nginx/sbin:$PATH ADD files/nginx-1.20.1.tar.gz /usr/src RUN useradd -r -M -s /sbin/nologin nginx \ yum -y install pcre-devel openssl openssl-devel gd-devel gcc gcc-c make \ mkdir -p /var/log/nginx \ cd /usr/src/nginx-1.20.1 \ ./configure \ --prefix/usr/local/nginx \ --usernginx \ --groupnginx \ --with-debug \ --with-http_ssl_module \ --with-http_realip_module \ --with-http_image_filter_module \ --with-http_gunzip_module \ --with-http_gzip_static_module \ --with-http_stub_status_module \ --http-log-path/var/log/nginx/access.log \ --error-log-path/var/log/nginx/error.log \ make make install CMD [nginx,-g,daemon off] [rootlocalhost nginx]# podman build -t nginx . // 修改镜像名 [rootlocalhost ~]# podman tag docker.io/library/nginx:latest docker.io/1314444/test:latest // 登录并上传镜像 [rootlocalhost ~]# podman login docker.io // 需要告诉其要登录到docker仓库 [rootlocalhost ~]# podman login docker.io Username:1314444#账户 Password: ********#密码 Login Succeeded! [rootlocalhost nginx]# podman push docker.io/1314444/test:latest //上传镜像 Getting image source signatures Copying blob38c40d6c2c85 done Copying blob fee76a531659 done Copying blob c2adabaecedb done Copying config7f3589c0b8 done Writing manifest to image destination Copying config7f3589c0b8 done Writing manifest to image destination Storing signatures //请注意我们将四层推送到我们的注册表现在可供其他人共享。快速浏览一下 [rootlocalhost ~]# podman inspect 1314444/test:nginx //输出 [ { Id: 7f3589c0b8849a9e1ff52ceb0fcea2390e2731db9d1a7358c2f5fad216a48263, Digest: sha256:7822b5ba4c2eaabdd0ff3812277cfafa8a25527d1e234be028ed381a43ad5498, RepoTags: [ docker.io/1314444/test:nginx, ......总而言之Podman 使查找、运行、构建和共享容器变得容易。配置别名如果习惯了使用 Docker 命令可以直接给 Podman 配置一个别名来实现无缝转移。你只需要在 .bashrc 下加入以下行内容即可[rootlocalhost ~]# echo alias dockerpodman .bashrc source .bashrc [rootlocalhost ~]# alias alias cpcp -i alias dockerpodman .......03用户操作在允许没有root特权的用户运行Podman之前管理员必须安装或构建Podman并完成以下配置。cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源如果使用cgroupV2启用了运行Podman的Linux发行版则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2必须切换到备用OCI运行时crun。[rootlocalhost ~]# yum -y install crun //centos8系统自带 [rootlocalhost ~]# vi /usr/share/containers/containers.conf 446 # Default OCI runtime 447 # 448 runtime crun //取消注释并将runc改为crun [rootlocalhost ~]# podman run -d --name web -p 80:80 docker.io/library/nginx c8664d2e43c872e1e5219f82d41f63048ed3a5ed4fb6259c225a14d6c243677f [rootlocalhost ~]# podman inspect web | grep crun OCIRuntime: crun, crun,安装slirp4netns和fuse-overlayfs在普通用户环境中使用Podman时建议使用fuse-overlayfs而不是VFS文件系统至少需要版本0.7.6。现在新版本默认就是了。[rootlocalhost ~]# yum -y install slirp4netns [rootlocalhost ~]# yum -y install fuse-overlayfs [rootlocalhost ~]# vi /etc/containers/storage.conf 77 mount_program /usr/bin/fuse-overlayfs //取消注释/ etc / subuid和/ etc / subgid配置Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件[rootlocalhost ~]# yum -y install shadow-utils可以在/ etc / subuid和/ etc / subgid查看每个用户的值必须唯一且没有任何重叠。[rootlocalhost ~]# useradd zz [rootlocalhost ~]# cat /etc/subuid zz:100000:65536 [rootlocalhost ~]# cat /etc/subgid zz:100000:65536 // 启动非特权ping [rootlocalhost ~]# sysctl -w net.ipv4.ping_group_range0 200000 //大于100000这个就表示tom可以操作podman net.ipv4.ping_group_range 0 200000这个文件的格式是 USERNAME:UID:RANGE 中/etc/passwd或输出中列出的用户名getpwent。为用户分配的初始 UID。为用户分配的 UID 范围的大小。该usermod程序可用于为用户分配 UID 和 GID而不是直接更新文件。[rootlocalhost ~]# usermod --add-subuids 200000-201000 --add-subgids 200000-201000 hh grep hh /etc/subuid /etc/subgid /etc/subuid:hh:200000:1001 /etc/subgid:hh:200000:1001用户配置文件三个主要的配置文件是container.conf、storage.conf和registries.conf。用户可以根据需要修改这些文件。// 用户配置文件 [rootlocalhost ~]# cat /usr/share/containers/containers.conf [rootlocalhost ~]# cat /etc/containers/containers.conf [rootlocalhost ~]# cat ~/.config/containers/containers.conf //优先级最高container.conf如果它们以该顺序存在。每个文件都可以覆盖特定字段的前一个文件。配置storage.conf文件1./etc/containers/storage.conf 2.$HOME/.config/containers/storage.conf在普通用户中/etc/containers/storage.conf的一些字段将被忽略[rootlocalhost ~]# vi /etc/containers/storage.conf [storage] # Default Storage Driver, Must be set for proper operation. driver overlay#此处改为overlay ....... mount_program /usr/bin/fuse-overlayfs#取消注释 [rootlocalhost ~]# sysctl user.max_user_namespaces15000 #如果版本为8以下则需要做以下操作在普通用户中这些字段默认graphroot$HOME/.local/share/containers/storage runroot$XDG_RUNTIME_DIR/containersregistries.conf配置按此顺序读入,这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改。1./etc/containers/registries.conf 2./etc/containers/registries.d/* 3.HOME/.config/containers/registries.conf授权文件此文件里面写了docker账号的密码以加密方式显示[rootlocalhost ~]# podman login Username: 1314444 Password: Login Succeeded! [rootlocalhost ~]# cat /run/user/0/containers/auth.json { auths: { registry.fedoraproject.org: { auth: MTMxNDQ0NDpIMjAxNy0xOA } } }普通用户是无法看见root用户的镜像的//root用户 [rootlocalhost ~]# podman images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/library/httpd latest ea28e1b82f31 11 days ago 146 MB //普通用户 [rootlocalhost ~]# su - zz [zzlocalhost ~]$ podman images REPOSITORY TAG IMAGE ID CREATED SIZE04卷容器与root用户一起运行则root容器中的用户实际上就是主机上的用户。UID GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID GID。如果普通用户的身份从主机目录挂载到容器中并在该目录中以根用户身份创建文件则会看到它实际上是你的用户在主机上拥有的。使用卷[rootlocalhost ~]# su - zz [zzlocalhost ~]$ pwd /home/zz [zzlocalhost ~]$ mkdir /home/zz/data [zzlocalhost ~]$ podman run -it -v$(pwd)/data:/data docker.io/library/busybox /bin/sh Trying to pull docker.io/library/busybox:latest... Getting image source signatures Copying blob3cb635b06aa2 done Copying config ffe9d497c3 done Writing manifest to image destination Storing signatures /# ls bin data dev etc home proc root run sys tmp usr var /# cd data/ /data# ls /data# touch 123 /data# ls -l total0 -rw-r--r--1 root root0 Dec1300:17 123在主机上查看[zzlocalhost ~]$ ll data/ 总用量 0 -rw-r--r-- 1 zz zz 0 12月 13 00:17 123 //写入文件 [zzlocalhost ~]$ echo hell world 123 [zzlocalhost ~]$ cat 123 hell world容器里查看/data # cat 123 hell world //我们可以发现在容器里面的文件的属主和属组都属于root那么如何才能让其属于tom用户呢下面告诉你答案 /data #ls -l total4 -rw-rw-r--1 root root12 Dec1300:20123 //只要在运行容器的时候加上一个--usernskeep-id即可。 [zzlocalhost ~]$ podman run -it --name test -v$(pwd)/data:/data --usernskeep-id docker.io/library/busybox /bin/sh ~ $cd data/ /data $ls -l total4 -rw-r--r--1 zz zz11 Dec1300:21 123使用普通用户映射容器端口时会报“ permission denied”的错误[zzlocalhost ~]$ podman run -d -p 80:80 httpd Error: rootlessport cannot expose privileged port 80, you can add net.ipv4.ip_unprivileged_port_start80 to /etc/sysctl.conf (currently 1024), or choose a larger port number ( 1024): listen tcp 0.0.0.0:80: bind: permission denied普通用户可以映射 1024的端口[zzlocalhost ~]$ podman run -d -p 1024:80 httpd 58613a6bdc70d4d4f9f624583f795a62a610596d166f0873bdff8fb26aa15092 [zzlocalhost ~]$ ss -anlt State Recv-Q Send-Q Local Address:Port Peer Address:Port Process LISTEN 0 128 0.0.0.0:22 0.0.0.0:* LISTEN 0 128 *:1024 *:* LISTEN 0 128 [::]:22 [::]:*配置echo ‘net.ipv4.ipunprivilegedport_start80’ /etc/sysctl.conf后可以映射大于等于80的端口[rootlocalhost ~]# echo net.ipv4.ip_unprivileged_port_start80 /etc/sysctl.conf [rootlocalhost ~]# sysctl -p net.ipv4.ip_unprivileged_port_start 80 [zzlocalhost ~]$ podman run -d -p80:80 httpd 1215455a0c300d78e7bf6afaefc9873f818c6b0f26affeee4e2bc17954e72d8e [zzlocalhost ~]$ ss -anlt State Recv-Q Send-Q LocalAddress:Port PeerAddress:Port Process LISTEN0 128 0.0.0.0:22 0.0.0.0:* LISTEN0 128 *:1024 *:* LISTEN0 128 *:80 *:* LISTEN 0 128 [::]:22 [::]:*