Podman le moteur de conteneur alternatif à Docker
Mise à jour :
Podman est présenté comme une alternative pertinente à
Docker, offrant une expérience
utilisateur similaire tout en éliminant certains des défis de sécurité que pose
le démon Docker tournant avec les privilèges root. Voyons cela ensemble.
Introduction
Podman, pour POD manager, est un outil Open Source qui sert à construire et exécuter des images de conteneurs. Podman est développé par la société Red Hat et des membres de la communauté.
Contrairement à Docker qui fonctionne sur une architecture client-serveur nécessitant un démon, Podman adopte une approche daemonless. Cela signifie que chaque action exécutée est un processus indépendant et non vient un démon, ce qui améliore la sécurité et simplifie la gestion des conteneurs.
Une autre des caractéristiques notables de Podman est sa capacité à
exécuter des conteneurs sans nécessiter les privilèges root, offrant ainsi
une sécurité accrue.
Podman est conçu pour être compatible avec Docker, ce qui facilite la transition pour ceux qui sont déjà familiarisés avec Docker. Les images Docker peuvent être exécutées sans aucune modification et les commandes de la cli Podman sont très similaires à celles de Docker, rendant le passage de Docker à Podman facile.
C’est quoi un pod pour Podman ?
Un Pod dans Podman est un concept emprunté à Kubernetes. Un pod Podman est composé d’un ou plusieurs conteneurs, qui sont regroupés dans un espace de noms, un réseau et un contexte de sécurité uniques.
Installation de Podman
Podman est peut-être installé sur des serveurs tournant sous Linux, MacOS et
Windows.
Je me limiterai ici à décrire **l’installation d’une version récente de Podman sur une distribution Ubuntu :
sudo mkdir -p /etc/apt/keyringscurl -fsSL "https://download.opensuse.org/repositories/devel:kubic:libconteneurs:unstable/xUbuntu_$(lsb_release -rs)/Release.key" \ | gpg --dearmor \ | sudo tee /etc/apt/keyrings/devel_kubic_libconteneurs_unstable.gpg > /dev/nullecho \ "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/devel_kubic_libconteneurs_unstable.gpg]\ https://download.opensuse.org/repositories/devel:kubic:libconteneurs:unstable/xUbuntu_$(lsb_release -rs)/ /" \ | sudo tee /etc/apt/sources.list.d/devel:kubic:libconteneurs:unstable.list > /dev/nullsudo apt update -qqsudo apt -qq -y install podmanPour les autres distributions la documentation se trouve ici ↗.
Vérification de l’installation de Podman
Il suffit de lancer la commande suivante :
podman --versionpodman version 4.6.2Commandes de base de Podman
Comme dis plus haut, La cli de Podman est très très proche de celles de Docker. Donc ceux qui connaissent Docker peuvent passer à la section sur la gestion des Pods.
Création d’une image
La création des images est gérée par Buildah qui est intégré comme l’est
BuildKit dans Docker. La commande build de Podman permet de construire des
images.
Je ne vais re-documenter cette partie, car elle est déjà disponible [ici]((/docs/conteneurs/images-conteneurs/build/buildah/).
Gestion des images
Rechercher des images dans les registry
Pour trouver des images dans la plupart des registry, on utilise la commande
search :
podman search alpineNAME DESCRIPTIONdocker.io/library/alpine A minimal Docker image based on Alpine Linux...docker.io/alpinelinux/docker-cli Simple and lightweight Alpine Linux image wi...docker.io/alpinelinux/alpine-gitlab-ci Build Alpine Linux packages with Gitlab CIdocker.io/alpinelinux/gitlab-runner-helper Helper image conteneur gitlab-runner-helper...docker.io/alpinelinux/rsyncddocker.io/alpinelinux/alpine-drone-ci Build Alpine Linux packages with drone CIdocker.io/alpinelinux/unbound...Pour obtenir la liste des images officielles, on ajoute l’option --filter is-official :
podman search --filter is-official alpineNAME DESCRIPTIONdocker.io/library/alpine A minimal Docker image based on Alpine Linux...Pour obtenir la liste des tags disponibles, on ajoute l’option --list-tags :
podman search --list-tags --limit 10 docker.io/library/alpineNAME TAG...NAME TAGdocker.io/library/alpine 2.6docker.io/library/alpine 2.7docker.io/library/alpine 20190228docker.io/library/alpine 20190408docker.io/library/alpine 20190508docker.io/library/alpine 20190707docker.io/library/alpine 20190809docker.io/library/alpine 20190925docker.io/library/alpine 20191114docker.io/library/alpine 20191219...Télécharger une image
Pour télécharger l’image Ubuntu possédant le tag 3.18.4 depuis le Docker Hub, on
utilise la commande pull :
podman pull docker.io/library/alpine:3.18.4Trying to pull docker.io/library/alpine:3.18.4...Getting image source signaturesCopying blob 96526aa774ef skipped: already existsCopying config 8ca4688f4f doneWriting manifest to image destination8ca4688f4f356596b5ae539337c9941abc78eda10021d35cbc52659c74d9b443Lister les images
Pour afficher toutes les images disponibles localement, on utilise la commande images :
podman imagesREPOSITORY TAG IMAGE ID CREATED SIZEdocker.io/library/ubuntu jammy e4c58958181a 3 weeks ago 80.4 MBdocker.io/library/alpine 3.18 8ca4688f4f35 4 weeks ago 7.63 MBdocker.io/library/alpine 3.18.4 8ca4688f4f35 4 weeks ago 7.63 MBObtenir des informations sur une image
On utilisera la commande image inspect :
podman image inspect docker.io/library/alpine:3.18[ { "Id": "8ca4688f4f356596b5ae539337c9941abc78eda10021d35cbc52659c74d9b443", "Digest": "sha256:eece025e432126ce23f223450a0326fbebde39cdf496a85d8c016293fc851978", "RepoTags": [ "docker.io/library/alpine:3.18", "docker.io/library/alpine:3.18.4" ], "RepoDigests": [ "docker.io/library/alpine@sha256:48d9183eb12a05c99bcc0bf44a003607b8e941e1d4f41f9ad12bdcc4b5672f86", "docker.io/library/alpine@sha256:eece025e432126ce23f223450a0326fbebde39cdf496a85d8c016293fc851978" ], "Parent": "", "Comment": "", "Created": "2023-09-28T21:19:27.801479409Z", "Config": { "Env": [ "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" ], "Cmd": [ "/bin/sh" ] }, "Version": "20.10.23", "Author": "", "Architecture": "amd64", "Os": "linux", "Size": 7629894, "VirtualSize": 7629894, "GraphDriver": { "Name": "overlay", "Data": { "UpperDir": "/home/bob/.local/share/conteneurs/storage/overlay/cc2447e1835a40530975ab80bb1f872fbab0f2a0faecf2ab16fbbb89b3589438/diff", "WorkDir": "/home/bob/.local/share/conteneurs/storage/overlay/cc2447e1835a40530975ab80bb1f872fbab0f2a0faecf2ab16fbbb89b3589438/work" } }, "RootFS": { "Type": "layers", "Layers": [ "sha256:cc2447e1835a40530975ab80bb1f872fbab0f2a0faecf2ab16fbbb89b3589438" ] }, "Labels": null, "Annotations": {}, "ManifestType": "application/vnd.docker.distribution.manifest.v2+json", "User": "", "History": [ { "created": "2023-09-28T21:19:27.686110063Z", "created_by": "/bin/sh -c #(nop) ADD file:756183bba9c7f4593c2b216e98e4208b9163c4c962ea0837ef88bd917609d001 in / " }, { "created": "2023-09-28T21:19:27.801479409Z", "created_by": "/bin/sh -c #(nop) CMD [\"/bin/sh\"]", "empty_layer": true } ], "NamesHistory": [ "docker.io/library/alpine:3.18.4", "docker.io/library/alpine:3.18" ] }]Détruire des images
Pour détruire les images locales, on utilise la commande rmi :
podman rmi docker.io/library/alpine:3.18Gestion des conteneurs
Lancer une image de conteneur
Pour lancer par exemple une image de conteneur alpine on utilise la commande
run :
podman run alpine:3.18.4Il ne se passe rien, c’est normal ! Notre image ne possède pas d’instruction CMD ou ENTRYPOINT.
Lancer le conteneur en mode interactif
Pour lancer une exécution interactive, c’est-à-dire qu’on se retrouve avec
l’invite de commande du conteneur, on utilise l’option -it :
podman run -it alpine:3.18.4 sh/ # cat /etc/os-releaseNAME="Alpine Linux"ID=alpineVERSION_ID=3.18.4PRETTY_NAME="Alpine Linux v3.18"HOME_URL="https://alpinelinux.org/"BUG_REPORT_URL="https://gitlab.alpinelinux.org/alpine/aports/-/issues"/ # exitPour sortir, il suffit soit de taper la commande exit ou la séquence de touche
[CTRL] + [D].
Le mode interactif est très utile dans les phases de construction des images ainsi que dans celui du DEBUG.
Lancer le conteneur en tâche de fond
Pour lancer une image de conteneur en tache de fond, il faut utiliser l’option
-dt. Pour cela, nous aurons besoin d’un conteneur httpd :
podman search --filter is-official httpdNAME DESCRIPTIONdocker.io/library/httpd The Apache HTTP Server ProjectMaintenant lançons le en exposant le port 80 :
podman run -dt -p 8080:80/tcp docker.io/library/httpd:2.4.58-alpine3.18Testons :
curl http://localhost:8080<html><body><h1>It works!</h1></body></html>Ça fonctionne.
Nommer votre conteneur
Pour fixer le nom, il faut ajouter l’option --name :
podman run --name my-httpd -dt -p 8080:80/tcp docker.io/library/httpd:2.4.58-alpine3.18Lister les conteneurs en cours d’exécution
Pour lister les conteneurs en cours, il faut utiliser commande ps :
podman psconteneur ID IMAGE COMMAND CREATED STATUS PORTS NAMES92c251fdfae8 docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 12 seconds ago Up 12 seconds 0.0.0.0:8080->80/tcp my-httpdStopper/Démarrer un conteneur
Pour stopper un conteneur, il faut utiliser commande stop :
podman stop my-httpdmy-httpdVérifions :
podman psconteneur ID IMAGE COMMAND CREATED STATUS PORTS NAMESPour vérifier que notre conteneur juste stoppé, il faut utiliser l’option -a à
la commande ps :
podman ps -aconteneur ID IMAGE COMMAND CREATED STATUS PORTS NAMES36d9f97def24 docker.io/library/alpine:3.18.4 /bin/sh 2 hours ago Exited (0) 2 hours ago epic_lichterman22cb6ad44fae docker.io/library/alpine:3.18.4 /bin/sh 2 hours ago Exited (0) 2 hours ago strange_borg9a537d03e575 docker.io/library/alpine:3.18.4 sh 2 hours ago Exited (127) 2 hours ago sad_kellerf1276c998d63 docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 19 minutes ago Exited (0) 13 minutes ago 0.0.0.0:8080->80/tcp sharp_carson77515a5ecd1c docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 13 minutes ago Exited (0) 12 minutes ago 0.0.0.0:8080->80/tcp thirsty_kirch92c251fdfae8 docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 8 minutes ago Exited (0) 2 minutes ago 0.0.0.0:8080->80/tcp my-httpdRelançons le conteneur my-httpd :
podman start my-httpdpodman psconteneur ID IMAGE COMMAND CREATED STATUS PORTS NAMES92c251fdfae8 docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 11 minutes ago Up 3 seconds 0.0.0.0:8080->80/tcp my-httpdAfficher les logs d’un conteneur
Pour afficher les logs du conteneur, on utilise la commande logs :
curl http://localhost:8080<html><body><h1>It works!</h1></body></html>
podman logs my-httpdAH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.0.2.100. Set the 'ServerName' directive globally to suppress this messageAH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.0.2.100. Set the 'ServerName' directive globally to suppress this message[Mon Oct 30 12:24:55.305997 2023] [mpm_event:notice] [pid 1:tid 140152919587656] AH00489: Apache/2.4.58 (Unix) configured -- resuming normal operations[Mon Oct 30 12:24:55.306229 2023] [core:notice] [pid 1:tid 140152919587656] AH00094: Command line: 'httpd -D FOREGROUND'[Mon Oct 30 12:30:28.407362 2023] [mpm_event:notice] [pid 1:tid 140152919587656] AH00492: caught SIGWINCH, shutting down gracefullyAH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.0.2.100. Set the 'ServerName' directive globally to suppress this messageAH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.0.2.100. Set the 'ServerName' directive globally to suppress this message[Mon Oct 30 12:36:14.377993 2023] [mpm_event:notice] [pid 1:tid 139817935989576] AH00489: Apache/2.4.58 (Unix) configured -- resuming normal operations[Mon Oct 30 12:36:14.378099 2023] [core:notice] [pid 1:tid 139817935989576] AH00094: Command line: 'httpd -D FOREGROUND'10.0.2.100 - - [30/Oct/2023:12:40:34 +0000] "GET / HTTP/1.1" 200 45Se connecter à un conteneur en cours d’exécution
Pour se connecter à un conteneur tournant en tache de fond :
podman exec -it my_httpd shDétruire un conteneur
Pour détruire un conteneur, il faut utiliser la commande rm :
podman rm my-httpdError: cannot remove conteneur 92c251fdfae828c9cfaefea19e3bb7f858ca146c3e06159cf33e7a7035fb7d54 as it is running - running or paused conteneurs cannot be removed without force: conteneur state improperCela n’a pas fonctionné, car le conteneur est en cours d’utilisation. Pour forcer
la destruction, il faut ajouter l’option -f :
> podman rm -f my-httpdmy-httpd>> podman psconteneur ID IMAGE COMMAND CREATED STATUS PORTS NAMES> podman ps -aconteneur ID IMAGE COMMAND CREATED STATUS PORTS NAMES36d9f97def24 docker.io/library/alpine:3.18.4 /bin/sh 2 hours ago Exited (0) 2 hours ago epic_lichterman22cb6ad44fae docker.io/library/alpine:3.18.4 /bin/sh 2 hours ago Exited (0) 2 hours ago strange_borg9a537d03e575 docker.io/library/alpine:3.18.4 sh 2 hours ago Exited (127) 2 hours ago sad_kellerf1276c998d63 docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 31 minutes ago Exited (0) 25 minutes ago 0.0.0.0:8080->80/tcp sharp_carson77515a5ecd1c docker.io/library/httpd:2.4.58-alpine3.18 httpd-foreground 25 minutes ago Exited (0) 24 minutes ago 0.0.0.0:8080->80/tcp thirsty_kirchFaire le ménage
Attention, Podman comme Docker utilise pas mal d’espace disque.
Heureusement, nous avons des commandes pour contrôler l’évolution de
l’utilisation de l’espace disque. À commencer par la commande system ps.
podman system dfTYPE TOTAL ACTIVE SIZE RECLAIMABLEImages 4 2 142.5MB 72.73MB (51%)conteneurs 5 0 58.02kB 58.02kB (100%)Local Volumes 0 0 0B 0B (0%)Pour faire de la place, on utilise la commande system prune :
podman system pruneWARNING! This command removes: - all stopped conteneurs - all networks not used by at least one conteneur - all dangling images - all dangling build cache
Are you sure you want to continue? [y/N] yDeleted conteneurs22cb6ad44fae9cdbfa4a13ace7d0ceab874784daef4293238c1531e0b2e8177736d9f97def247f6d18b01fb3febc415ac4b10ac627fdfefddd685aecfde0484177515a5ecd1cd4108b27cab2ddc019fa50f2e424eb5d6bbd92fd89b9809eb85f9a537d03e5757db86075431343a467d54781ffe9b61259159f80b2979e79f188f1276c998d632a083a01f3efaa901b4da8348467f2fbe03d29bd8a2aaecea83cTotal reclaimed space: 58.02kBpodman system dfTYPE TOTAL ACTIVE SIZE RECLAIMABLEImages 4 2 142.5MB 72.73MB (51%)conteneurs 0 0 0B 0B (0%)Local Volumes 0 0 0B 0B (0%)Gestion des Pods sous Podman
Pour rappel, les pods sont des groupes de conteneurs qui partagent des
ressources. Les pods Podman sont la fonctionnalité qui distingue Podman
de Docker. Pour gérer les pods, il faut utiliser la commande podman pod.
Créer un pod
Pour créer un pod, il faut utiliser la commande create auquel on ajoute
l’option --name pour le nommer :
podman pod create --name myFirstPod -p 8080:8000f19ca19416163b0a0b393a8697821e5d1e6c99ead0182f62a7c01fe2290d4fL’exposition des ports se fait au niveau du pod et non du conteneur.
Attacher un conteneur à un pod
Pour attacher un conteneur à un pod, il faut, au moment du lancement du
conteneur, ajouter l’option --pod :
podman run --pod myFirstPod --name my-hhtpd -dt docker.io/library/httpd:2.4.58-alpine3.18Testons :
curl http://localhost:8080
<html><body><h1>It works!</h1></body></html>Cela fonctionne.
Les autres commandes
Les autres commandes sont identiques que celles utilisées pour la gestion des conteneurs.
Lister les pods
Pour lister les pods en cours, on utilise la commande ls :
podman pod lsPOD ID NAME STATUS CREATED INFRA ID # OF conteneurS00f19ca19416 myFirstPod Created 37 seconds ago 990508ed24d5 1Problèmes courants
Podman est conçu pour être exécuté sans privilèges root. Cependant, certaines
configurations peuvent nécessiter des ajustements pour fonctionner correctement
sans privilèges root.
Des problèmes peuvent survenir lors de la configuration des réseaux de conteneurs. Il peut être nécessaire de configurer manuellement les réseaux ou de s’assurer que certaines règles de pare-feu sont correctement configurées.
Bien que Podman soit compatible avec les commandes et les images Docker, il peut y avoir des cas où des ajustements sont nécessaires pour faire fonctionner certaines images Docker sans modifications.
Conclusion
Que de progrès depuis mon dernier test. L’utilisation de Podman sur un
compte ne possédant pas les privilèges root fonctionne plutôt bien. Podman
est devenu une alternative crédible à Docker.
Plus d’infos
Sites
- Podman : conteneurs Dockerless ↗
- Découvrez qu’est-ce que Podman, concurrent de Docker, l’actuel roi des conteneurs ↗