V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
monster33
V2EX  ›  程序员

兄弟萌 docker 和 padman 哪个更好呢

  •  
  •   monster33 · 2022-04-02 10:16:14 +08:00 · 6206 次点击
    这是一个创建于 964 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有没有长期用过的,docker 生态要强很多,但是 podman 又很多人吹,so 有没有人对比过

    谁才是真正的“西楚霸王”

    31 条回复    2022-05-06 10:05:26 +08:00
    uCharles
        1
    uCharles  
       2022-04-02 10:19:29 +08:00
    当年 win10 刚出的时候,你升级了吗?
    升的话就选 podman ,否则用 docker
    haonse
        2
    haonse  
       2022-04-02 10:24:43 +08:00
    不是你想用什么的问题,而是 docker 只能用守护进程+root ,这个对很多看重安全的公司来讲是不能被接受的,我们今年已经开始切 podman 了,这两天正在踩坑
    carytseng
        3
    carytseng  
       2022-04-02 10:32:45 +08:00
    工具而已,喜欢哪个用哪个
    tramm
        4
    tramm  
       2022-04-02 10:44:05 +08:00
    看需求吧.
    我们公司:
    dev 虚拟机里装 podman
    正式服务器, 之前的用的 Docker, 新增的用 Podman.
    自己打包的用 podman. 拉取仓库的用 Docker.(因为之前用 podman 拉取仓库时配置镜像后有的一直拉不下来)
    ospider
        5
    ospider  
       2022-04-02 10:50:49 +08:00
    新项目的话,建议从 podman 开始了
    julyclyde
        6
    julyclyde  
       2022-04-02 11:03:00 +08:00   ❤️ 1
    @haonse 我觉得“这类”公司都是 sb 啊
    他们普通用户的权限不还是 root 降级而得到的么
    有种把内核也降到非 root 啊
    abersheeran
        7
    abersheeran  
       2022-04-02 11:03:45 +08:00
    没有上 k8s 的本菜鸡连 podman container 的开机自启都没搞定,手动必成功,走 systemctl start 必 125 ,搜解决方案,全试了都没用😓如果你跟我一样不熟悉这方面,还是 docker 吧
    aptupdate
        8
    aptupdate  
       2022-04-02 11:07:53 +08:00
    歪个楼,既然 Podman 可以不使用守护进程和 root 权限运行,那 docker 应该也可以做到吧?
    让选择困难症的人头大。
    klgd
        9
    klgd  
       2022-04-02 11:34:24 +08:00
    windows 上 podman 占资源多吗
    q1angch0u
        10
    q1angch0u  
       2022-04-02 12:38:18 +08:00
    padman -> podman
    q1angch0u
        11
    q1angch0u  
       2022-04-02 12:39:39 +08:00
    @julyclyde 他说的是容器相关的组件不以 root 运行吧~可以一定程度上防止 docker 逃逸
    u823tg
        12
    u823tg  
       2022-04-02 12:45:46 +08:00
    @q1angch0u #11 真有逃逸那个技术,普通用户提权对人家也不是难事吧。
    skiy
        13
    skiy  
       2022-04-02 12:59:26 +08:00 via iPhone
    @haonse docker 已经不需要在 root 下运行了。

    dockerd-rootless-setuptool.sh install

    rootless 还限制了特定安全端口使用,但可以修改限制。
    cev2
        14
    cev2  
       2022-04-02 13:16:13 +08:00   ❤️ 2
    @u823tg #12 不能因为一锤子能敲开锁,就不给门上锁了。
    →_→Ubuntu 上用 Snap 安装 Docker ,逃出 Docker 后发现在 Snap 的沙盒里~
    u823tg
        15
    u823tg  
       2022-04-02 13:23:55 +08:00
    @cev2 #14 说的是 root 用户运行。 感觉真会逃逸技术了普通用户和 root 没啥区别。 那么多人研究 linux 提权的。 单纯普通用户防止自己人犯错还是有必要
    haonse
        16
    haonse  
       2022-04-02 13:34:20 +08:00
    @julyclyde 我感觉是因为这些公司不能完全审查私有部署的服务(或者没有这个能力),所以就一刀切了,同行也有让用 docker 的,咱不过是挣钱的,就当是带薪学习了
    shankun
        17
    shankun  
       2022-04-02 13:41:46 +08:00
    @abersheeran 使用 podman generate systemd 来搞,就是普通用户,启动,完全没问题。
    shijingshijing
        18
    shijingshijing  
       2022-04-02 14:23:17 +08:00
    @cev2 外面还可以套一个虚拟机,虚拟机里跑 ubuntu
    SmiteChow
        19
    SmiteChow  
       2022-04-02 16:02:29 +08:00
    没太大区别,就一个权限问题,你有 root 权限吗,你能熟练操作 root 账号吗,能?那就是 docker
    q1angch0u
        20
    q1angch0u  
       2022-04-02 16:19:02 +08:00
    @u823tg 逃逸肯定要比提权简单啊……比如 docker.sock 挂进容器,就可以 run --privilege 一个 root 容器了,内核提权需要搞 kernel 的漏洞……
    u823tg
        21
    u823tg  
       2022-04-02 16:34:52 +08:00
    @q1angch0u #20 从 docker 容器中获取到宿主机的 root shell 和从普通用户提权到 root shell 差不多 。 内核提权只是一种方法。 用普通用户执行就是多加一层安全性
    u823tg
        22
    u823tg  
       2022-04-02 16:42:46 +08:00
    @q1angch0u #20 但是这层 安全性 防的是 podman 出逃逸漏洞了黑客批量获取到的是普通用户的 shell ,防下脚本小子还可以。 专业团队的话 linux 提权本身就是个研究大方向。
    gengchun
        23
    gengchun  
       2022-04-02 17:54:22 +08:00
    在试用 podman ,很多说不清的卡住的情况。比如说前两天我,推送、拉取镜像,就有卡住不动的时候,还有 registry 报权限问题的。

    都是说不清楚怎么就出问题的。错误提示基本没有。
    hingbong
        24
    hingbong  
       2022-04-02 22:44:49 +08:00 via Android
    wsl2 没有 systemd ,所以用的 podman
    ragnaroks
        25
    ragnaroks  
       2022-04-02 23:07:33 +08:00
    如果你有疑问,那就用 docker ,因为用 docker 不会产生意外疑问
    ivyliner
        26
    ivyliner  
       2022-04-03 07:12:34 +08:00
    你大爷终究还是你大爷啊. 不要听别人吹. 生活中很多事情, 基本上要达到同样的成熟度要用差不多的时间.
    linxl
        27
    linxl  
       2022-04-03 15:00:26 +08:00
    大家用啥我用啥,毕竟菜鸡碰到问题好能搜到解决方案。。。
    monster33
        28
    monster33  
    OP
       2022-04-03 18:59:02 +08:00
    @SmiteChow 熟练操作 root 帐号包括哪些?不 rm -rf 算吗?
    SmiteChow
        29
    SmiteChow  
       2022-04-06 09:54:52 +08:00
    @monster33 只包括一条,知道怎么操作不会把系统弄崩溃。
    lijiangang886
        30
    lijiangang886  
       2022-04-15 17:53:07 +08:00
    使用久经考验的成熟方案,别在细枝末节的地方瞎折腾,又不是干运维的关心这玩意干啥(逃
    fcymk2
        31
    fcymk2  
       2022-05-06 10:05:26 +08:00
    试了下 podman 跑 docker 镜像, 跑编译的时候直接卡住不动了(用来编 android 的镜像, 不用搭本地环境了), 不知道啥问题, 回 docker 了, 反正 docker 现在也有 rootless 模式了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5758 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 01:52 · PVG 09:52 · LAX 17:52 · JFK 20:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.