V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
monster33
V2EX  ›  程序员

兄弟萌 docker 和 padman 哪个更好呢

  •  
  •   monster33 · 130 天前 · 4090 次点击
    这是一个创建于 130 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有没有长期用过的,docker 生态要强很多,但是 podman 又很多人吹,so 有没有人对比过

    谁才是真正的“西楚霸王”

    31 条回复    2022-05-06 10:05:26 +08:00
    sugz
        1
    sugz  
       130 天前
    当年 win10 刚出的时候,你升级了吗?
    升的话就选 podman ,否则用 docker
    haonse
        2
    haonse  
       130 天前
    不是你想用什么的问题,而是 docker 只能用守护进程+root ,这个对很多看重安全的公司来讲是不能被接受的,我们今年已经开始切 podman 了,这两天正在踩坑
    carytseng
        3
    carytseng  
       130 天前
    工具而已,喜欢哪个用哪个
    tramm
        4
    tramm  
       130 天前
    看需求吧.
    我们公司:
    dev 虚拟机里装 podman
    正式服务器, 之前的用的 Docker, 新增的用 Podman.
    自己打包的用 podman. 拉取仓库的用 Docker.(因为之前用 podman 拉取仓库时配置镜像后有的一直拉不下来)
    ospider
        5
    ospider  
       130 天前
    新项目的话,建议从 podman 开始了
    julyclyde
        6
    julyclyde  
       130 天前   ❤️ 1
    @haonse 我觉得“这类”公司都是 sb 啊
    他们普通用户的权限不还是 root 降级而得到的么
    有种把内核也降到非 root 啊
    abersheeran
        7
    abersheeran  
       130 天前
    没有上 k8s 的本菜鸡连 podman container 的开机自启都没搞定,手动必成功,走 systemctl start 必 125 ,搜解决方案,全试了都没用😓如果你跟我一样不熟悉这方面,还是 docker 吧
    aptupdate
        8
    aptupdate  
       130 天前
    歪个楼,既然 Podman 可以不使用守护进程和 root 权限运行,那 docker 应该也可以做到吧?
    让选择困难症的人头大。
    klgd
        9
    klgd  
       130 天前
    windows 上 podman 占资源多吗
    q1angch0u
        10
    q1angch0u  
       130 天前
    padman -> podman
    q1angch0u
        11
    q1angch0u  
       130 天前
    @julyclyde 他说的是容器相关的组件不以 root 运行吧~可以一定程度上防止 docker 逃逸
    u823tg
        12
    u823tg  
       130 天前
    @q1angch0u #11 真有逃逸那个技术,普通用户提权对人家也不是难事吧。
    skiy
        13
    skiy  
       130 天前 via iPhone
    @haonse docker 已经不需要在 root 下运行了。

    dockerd-rootless-setuptool.sh install

    rootless 还限制了特定安全端口使用,但可以修改限制。
    cev2
        14
    cev2  
       129 天前   ❤️ 2
    @u823tg #12 不能因为一锤子能敲开锁,就不给门上锁了。
    →_→Ubuntu 上用 Snap 安装 Docker ,逃出 Docker 后发现在 Snap 的沙盒里~
    u823tg
        15
    u823tg  
       129 天前
    @cev2 #14 说的是 root 用户运行。 感觉真会逃逸技术了普通用户和 root 没啥区别。 那么多人研究 linux 提权的。 单纯普通用户防止自己人犯错还是有必要
    haonse
        16
    haonse  
       129 天前
    @julyclyde 我感觉是因为这些公司不能完全审查私有部署的服务(或者没有这个能力),所以就一刀切了,同行也有让用 docker 的,咱不过是挣钱的,就当是带薪学习了
    shankun
        17
    shankun  
       129 天前
    @abersheeran 使用 podman generate systemd 来搞,就是普通用户,启动,完全没问题。
    shijingshijing
        18
    shijingshijing  
       129 天前
    @cev2 外面还可以套一个虚拟机,虚拟机里跑 ubuntu
    SmiteChow
        19
    SmiteChow  
       129 天前
    没太大区别,就一个权限问题,你有 root 权限吗,你能熟练操作 root 账号吗,能?那就是 docker
    q1angch0u
        20
    q1angch0u  
       129 天前
    @u823tg 逃逸肯定要比提权简单啊……比如 docker.sock 挂进容器,就可以 run --privilege 一个 root 容器了,内核提权需要搞 kernel 的漏洞……
    u823tg
        21
    u823tg  
       129 天前
    @q1angch0u #20 从 docker 容器中获取到宿主机的 root shell 和从普通用户提权到 root shell 差不多 。 内核提权只是一种方法。 用普通用户执行就是多加一层安全性
    u823tg
        22
    u823tg  
       129 天前
    @q1angch0u #20 但是这层 安全性 防的是 podman 出逃逸漏洞了黑客批量获取到的是普通用户的 shell ,防下脚本小子还可以。 专业团队的话 linux 提权本身就是个研究大方向。
    gengchun
        23
    gengchun  
       129 天前
    在试用 podman ,很多说不清的卡住的情况。比如说前两天我,推送、拉取镜像,就有卡住不动的时候,还有 registry 报权限问题的。

    都是说不清楚怎么就出问题的。错误提示基本没有。
    hingbong
        24
    hingbong  
       129 天前 via Android
    wsl2 没有 systemd ,所以用的 podman
    ragnaroks
        25
    ragnaroks  
       129 天前
    如果你有疑问,那就用 docker ,因为用 docker 不会产生意外疑问
    ivyliner
        26
    ivyliner  
       129 天前
    你大爷终究还是你大爷啊. 不要听别人吹. 生活中很多事情, 基本上要达到同样的成熟度要用差不多的时间.
    linxl
        27
    linxl  
       128 天前
    大家用啥我用啥,毕竟菜鸡碰到问题好能搜到解决方案。。。
    monster33
        28
    monster33  
    OP
       128 天前
    @SmiteChow 熟练操作 root 帐号包括哪些?不 rm -rf 算吗?
    SmiteChow
        29
    SmiteChow  
       126 天前
    @monster33 只包括一条,知道怎么操作不会把系统弄崩溃。
    lijiangang886
        30
    lijiangang886  
       116 天前
    使用久经考验的成熟方案,别在细枝末节的地方瞎折腾,又不是干运维的关心这玩意干啥(逃
    fcymk2
        31
    fcymk2  
       96 天前
    试了下 podman 跑 docker 镜像, 跑编译的时候直接卡住不动了(用来编 android 的镜像, 不用搭本地环境了), 不知道啥问题, 回 docker 了, 反正 docker 现在也有 rootless 模式了
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3402 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:14 · PVG 13:14 · LAX 22:14 · JFK 01:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.