Podman是一個符合OCI標準的容器管理工具，它提供了與Docker類似的功能來管理容器，并且能夠運行無root容器。

概述[ ]

Podman是一個用于管理容器和容器鏡像的工具，它是一個輕量級的容器引擎，允許用戶在Linux系統(tǒng)上創(chuàng)建、運行和管理OCI（Open Container Initiative）兼容的容器。與Docker相似，但是Podman在設計上更注重安全性和可移植性。

與Docker不同的是，Podman不需要守護進程（daemon）來管理容器，而是通過普通用戶權(quán)限直接操作容器，這增強了安全性和用戶體驗。同時，Podman還支持多個容器管理工具（例如pod）和容器網(wǎng)絡功能，使得它成為一個功能強大且靈活的容器管理工具。

Podman鏡像[ ]

默認鏡像庫[ ]

文件 /etc/containers/registries.conf 是設置鏡像地址配置文件，默認會搜索['registry.access.redhat.com', 'registry.redhat.io', 'docker.io', 'quay.io']等幾個鏡像庫。不過，這幾個鏡像庫下載速度非常慢，可以說是基本無法順利的將鏡像拉下來。所以，需要修改修改鏡像庫配置文件，也就是大家說的鏡像加速方案。

鏡像加速[ ]

只需2個步驟實現(xiàn)鏡像加速：

1、改名并備份好文件：/etc/containers/registries.conf

2、再新建一個空的 registries.conf 文件，插入如下內(nèi)容

unqualified-search-registries = ["docker.io"]registryprefix = "docker.io"location = "******.mirror.aliyuncs.com"

工作機制[ ]

1、無Daemon設計：與傳統(tǒng)的Docker不同，Podman沒有中央守護進程（Daemon）。這意味著Podman在運行時不需要一個長時間運行的背景服務來管理容器。這種設計簡化了系統(tǒng)架構(gòu)，減少了復雜性和潛在的安全風險。

2、直接與OCI運行時交互：Podman直接與OCI兼容的容器運行時（如runc）進行通信，以創(chuàng)建和管理容器。這消除了傳統(tǒng)Docker模型中需要的額外抽象層，使得Podman能夠以更高效的方式運行容器。

3、fork/exec模型：由于沒有Daemon，Podman采用類似于Unix傳統(tǒng)的fork/exec模型來啟動容器。這意味著當Podman啟動一個容器時，它會通過fork和exec系統(tǒng)調(diào)用直接創(chuàng)建容器進程。這使得容器成為Podman進程的直接子進程，而不是由Daemon管理的獨立進程。

4、系統(tǒng)管理優(yōu)勢：由于容器是Podman進程的直接子進程，系統(tǒng)管理員可以更容易地追蹤到是哪個用戶或進程啟動了特定的容器。此外，可以通過cgroups等機制對Podman進程施加資源限制，這些限制會自動應用于所有由Podman啟動的容器。

5、與systemd的集成：Podman命令可以與systemd的SD_NOTIFY環(huán)境變量配合使用，以向systemd發(fā)送容器已準備好接受請求的信號。這允許systemd在容器準備就緒后自動啟動其他服務或任務。

6、socket激活：Podman支持將systemd socket傳遞給容器，這使得容器可以直接使用這些socket進行通信，從而簡化了服務間通信的設置。

與Docker的區(qū)別[ ]

• 架構(gòu)設計：Podman不依賴于守護進程來管理容器，每個容器都是一個獨立的進程。這種設計提高了安全性和隔離性，同時避免了潛在的安全風險。而Docker則需要一個長期運行的守護進程（dockerd）來管理容器。

• 權(quán)限管理：默認情況下，Docker需要root權(quán)限才能執(zhí)行大部分操作，這可能引發(fā)安全性考慮。而Podman可以在無需root權(quán)限的情況下運行，它使用用戶命名空間來隔離容器進程并限制其對主機資源的訪問。

• 進程管理：Podman使用標準的Linux進程管理工具（如systemd）來管理容器進程。而Docker使用自己的進程管理方式，這意味著Podman可以與其他進程管理工具集成，而Docker不能。

• 兼容性和生態(tài)系統(tǒng)：雖然Docker擁有更廣泛的生態(tài)系統(tǒng)和第三方工具支持，但Podman正在積極發(fā)展，并且與多種鏡像倉庫交互，包括Docker Hub和Quay.io等。

相關(guān)條目[ ]

• 容器
• Docker
• LXC
• OpenShift
• Rancher
• OpenStack
• Kubernetes
• VMware vSphere