兄弟萌 docker 和 padman 哪个更好呢

2022-04-02 10:16:14 +08:00
 monster33

有没有长期用过的,docker 生态要强很多,但是 podman 又很多人吹,so 有没有人对比过

谁才是真正的“西楚霸王”

6213 次点击
所在节点    程序员
31 条回复
uCharles
2022-04-02 10:19:29 +08:00
当年 win10 刚出的时候,你升级了吗?
升的话就选 podman ,否则用 docker
haonse
2022-04-02 10:24:43 +08:00
不是你想用什么的问题,而是 docker 只能用守护进程+root ,这个对很多看重安全的公司来讲是不能被接受的,我们今年已经开始切 podman 了,这两天正在踩坑
carytseng
2022-04-02 10:32:45 +08:00
工具而已,喜欢哪个用哪个
tramm
2022-04-02 10:44:05 +08:00
看需求吧.
我们公司:
dev 虚拟机里装 podman
正式服务器, 之前的用的 Docker, 新增的用 Podman.
自己打包的用 podman. 拉取仓库的用 Docker.(因为之前用 podman 拉取仓库时配置镜像后有的一直拉不下来)
ospider
2022-04-02 10:50:49 +08:00
新项目的话,建议从 podman 开始了
julyclyde
2022-04-02 11:03:00 +08:00
@haonse 我觉得“这类”公司都是 sb 啊
他们普通用户的权限不还是 root 降级而得到的么
有种把内核也降到非 root 啊
abersheeran
2022-04-02 11:03:45 +08:00
没有上 k8s 的本菜鸡连 podman container 的开机自启都没搞定,手动必成功,走 systemctl start 必 125 ,搜解决方案,全试了都没用😓如果你跟我一样不熟悉这方面,还是 docker 吧
aptupdate
2022-04-02 11:07:53 +08:00
歪个楼,既然 Podman 可以不使用守护进程和 root 权限运行,那 docker 应该也可以做到吧?
让选择困难症的人头大。
klgd
2022-04-02 11:34:24 +08:00
windows 上 podman 占资源多吗
q1angch0u
2022-04-02 12:38:18 +08:00
padman -> podman
q1angch0u
2022-04-02 12:39:39 +08:00
@julyclyde 他说的是容器相关的组件不以 root 运行吧~可以一定程度上防止 docker 逃逸
u823tg
2022-04-02 12:45:46 +08:00
@q1angch0u #11 真有逃逸那个技术,普通用户提权对人家也不是难事吧。
skiy
2022-04-02 12:59:26 +08:00
@haonse docker 已经不需要在 root 下运行了。

dockerd-rootless-setuptool.sh install

rootless 还限制了特定安全端口使用,但可以修改限制。
cev2
2022-04-02 13:16:13 +08:00
@u823tg #12 不能因为一锤子能敲开锁,就不给门上锁了。
→_→Ubuntu 上用 Snap 安装 Docker ,逃出 Docker 后发现在 Snap 的沙盒里~
u823tg
2022-04-02 13:23:55 +08:00
@cev2 #14 说的是 root 用户运行。 感觉真会逃逸技术了普通用户和 root 没啥区别。 那么多人研究 linux 提权的。 单纯普通用户防止自己人犯错还是有必要
haonse
2022-04-02 13:34:20 +08:00
@julyclyde 我感觉是因为这些公司不能完全审查私有部署的服务(或者没有这个能力),所以就一刀切了,同行也有让用 docker 的,咱不过是挣钱的,就当是带薪学习了
shankun
2022-04-02 13:41:46 +08:00
@abersheeran 使用 podman generate systemd 来搞,就是普通用户,启动,完全没问题。
shijingshijing
2022-04-02 14:23:17 +08:00
@cev2 外面还可以套一个虚拟机,虚拟机里跑 ubuntu
SmiteChow
2022-04-02 16:02:29 +08:00
没太大区别,就一个权限问题,你有 root 权限吗,你能熟练操作 root 账号吗,能?那就是 docker
q1angch0u
2022-04-02 16:19:02 +08:00
@u823tg 逃逸肯定要比提权简单啊……比如 docker.sock 挂进容器,就可以 run --privilege 一个 root 容器了,内核提权需要搞 kernel 的漏洞……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/844479

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX