Если вы находитесь в мире виртуализации и контейнеризации, вы, вероятно, сталкивались с Podman и Docker и, возможно, задаетесь вопросом, чем они отличаются друг от друга.
В этом посте мы рассмотрим различия между Docker и Podman и попытаемся найти то, что будет для вас правильным выбором!
Содержание
Докер
Docker — это технология контейнеризации, упрощающая управление зависимостями внутри проекта на всех уровнях (разработка и развертывание).
Механизм Docker, доступный в Linux, Windows и Mac OS, основан на контейнерах и их оркестровке, и именно этим контейнеризация отличается от виртуализации.
Docker состоит из двух основных строительных блоков: Docker CLI и Docker Daemon.
Демон Докера:
Это непрерывный фоновый процесс, который помогает управлять образами Docker, контейнерами, сетями и томами хранилища. Docker использует свой REST API Docker Engine для взаимодействия с демоном Docker, доступ к которому осуществляется через протокол HTTP.
Интерфейс командной строки докера:
Изображение предоставлено: Redhat
Это клиент Docker с командной строкой для взаимодействия с демоном Docker. Это то, что вы используете при запуске любой команды Docker.
Работа Docker основана на ядре Linux и функциях этого ядра, таких как контрольные группы и пространства имен. Эти функции разделяют процессы, чтобы они могли работать независимо, поскольку цель контейнеров — запускать несколько процессов и приложений по отдельности.
Именно это позволяет оптимизировать использование инфраструктуры без снижения уровня безопасности по сравнению с отдельными системами.
Все инструменты контейнеров, такие как Docker, поставляются с моделью развертывания на основе образов. Эта модель упрощает совместное использование приложения или набора служб в нескольких средах.
Кроме того, Docker помогает автоматизировать развертывание приложений в контейнерной среде. Благодаря этим различным инструментам пользователи получают полный доступ к приложениям и могут ускорить развертывание, контролировать версии и назначать их.
Уловка
Pod MANager создает, запускает и управляет контейнерами OCI и образами контейнеров. Он разработан Red Hat и изначально предназначался для Linux 8. Он используется для управления контейнерами и выступает в качестве официального преемника Docker.
В результате Red Hat прекратила поддержку Docker, но заверила, что переход будет простым для пользователей, поскольку Podman основан на Docker, хотя изначально он предназначался только как инструмент отладки.
Он управляет всей экосистемой контейнеров с помощью библиотеки libpod. Поскольку Podman работает только на платформах Linux, REST API и клиенты в настоящее время находятся в стадии разработки, чтобы позволить системам Mac и Windows вызывать службу.
Однако в настоящее время существует удаленный клиент на базе Warlink, работающий на платформах Mac или Windows, который обеспечивает удаленную связь с сервером Podman на базе Linux. Библиотека libpod поддерживает несколько методов безопасной загрузки изображений, включая доверие к изображениям и проверку.
Он также поддерживает модули для совместного управления группами контейнеров и несколькими форматами образов, включая форматы образов OCI и Docker.
В очень небольших и управляемых средах Podman может даже служить предшественником Kubernetes. Он устраняет разрыв между управлением отдельными экземплярами в первые годы повального увлечения контейнерами и современной оркестровкой с помощью Kubernetes.
Амбициозные пользователи контейнеров уже могут наслаждаться модулями следующего уровня. Создавать и запускать кластер Kubernetes больше не требуется. В простейшем случае вновь разработанные модули можно тестировать и улучшать в отдельных операциях. Возможен даже последующий перенос в Kubernetes.
Команда podman generate kube предоставляет соответствующие файлы конфигурации. Затем они служат входными данными для инструмента Kubernetes kubectl.
Текущие версии Podman могут даже создавать файлы конфигурации для systemd — удовольствие для всех, кто использует вездесущий преемник init для управления контейнерами.
Подман против Докера: различия
Docker быстро зарекомендовал себя как хобби для управления контейнерами. Однако у Docker есть множество преимуществ и, прежде всего, быстро растущий репертуар образов, а также недостатки и возможные риски безопасности. Кроме того, Docker больше не поддерживается в качестве контейнера для Kubernetes.
Тот факт, что контейнеры, в отличие от виртуальных систем, не требуют собственного ядра, обычно рассматривается как одно из больших преимуществ. Однако это представляет серьезную угрозу безопасности для Docker, поскольку контейнеры Docker могут работать только с привилегиями root.
Он позволяет процессам, работающим в контейнерах, получать доступ к ядру с привилегиями root и тем самым атаковать хост-систему.
Первое отличие очевидно при первом использовании. В то время как Docker требует, чтобы сначала был запущен демон Docker, контейнер Podman можно запустить непосредственно из командной строки. Таким образом, нет фонового процесса, и приложение выполняется только тогда, когда это необходимо.
С точки зрения безопасности это хорошо, потому что Podman менее уязвим для атак, если демону не нужно работать круглосуточно и без выходных с привилегиями суперпользователя. Podman не требует фонового процесса благодаря своей архитектуре, принципиально отличной от Docker.
В то время как Docker следует модели клиент-сервер, где клиент Docker взаимодействует с демоном Docker через API, Podman следует модели fork-ekec. Каждый контейнер работает как дочерний процесс Podman.
Пространство имен пользователя создается при первом использовании, когда Podman запускается с правами обычного пользователя. В пространстве имен пользователя Podman запускается с привилегиями root и имеет права на монтирование файловой системы и создание контейнеров.
Следовательно, контейнер Podman имеет только те права, которые есть у исполнительного пользователя. Использование пространств имен пользователей означает, что каждый пользователь может создавать свои собственные контейнеры и управлять ими, но они не видны другим пользователям и суперпользователю.
Поскольку Podman работает независимо от Docker, разработчики имеют большую свободу и могут реагировать на пожелания сообщества. Интересные дополнения к Podman включают команду mount/unmount и системную интеграцию.
Хост может использовать команду mount/unmount для монтирования файловой системы контейнера, например, для доступа или изменения файлов, а затем снова размонтировать ее.
Хотя мониторинг контейнеров с помощью systemd не работает из-за демонов в Docker с Podman, контейнеры можно запускать, отслеживать и даже перезапускать через systemd.
Кроме того, Podman предоставляет команду podman generate sistemd, которая генерирует соответствующий сервис sistemd для соответствующего контейнера и тем самым освобождает пользователя от создания сервисов sistemd, а значит, доступна интеграция на хост-системе.
Еще одно ключевое различие между Podman и Docker заключается в том, что последний не меняет правила брандмауэра или текущую установку dnsmask из-за возможности создания внутренней сети. Напротив, Docker должен переписать правила брандмауэра, чтобы разрешить связь между контейнерами.
PodmanDockerArchitecture DaemonDaemon lessServices Management SystemdDocker Engine Совместимость с брандмауэром Переопределяет правила брандмауэра Соблюдает правила брандмауэра Платформа Встроенная поддержка LinuxLinux, Windows и Mac
Когда вам следует перейти с Docker на Podman
Если вы развертываете контейнеры в среде на основе RHEL, у вас не так много вариантов, кроме как использовать Podman, поскольку он является родным для RHEL. Вы также можете перейти на Podman или выбрать Podman вместо Docker, если у вас небольшие развертывания с несколькими контейнерами.
Однако, если вы хотите быть более сложным, у вас есть несколько контейнеров и куча контейнеров для координации с docker-compose/podman-compose по сети. Лучше использовать Docker, потому что он намного лучше справляется с сетью.
Точно так же, если вы только начинаете входить в мир контейнеров, в этом случае Docker — лучший вариант, потому что он стабилен, хорошо зарекомендовал себя с надлежащей документацией и имеет неглубокую кривую обучения по сравнению с Podman, которому все еще не хватает стабильности и отсутствует четко определенная документация.
Миграция с Podman на Docker
Если вы работаете в командной строке, довольно легко переключиться с Docker Engine на Podman. Проще говоря, псевдоним $ большую часть времени выполняет команду docker=podman.
Конечно, это предполагает, что в системе установлено соответствующее программное обеспечение. В случае с Linux это тоже не проблема; готовые программные пакеты доступны для коммерческих дистрибутивов.
Windows или macOS не входят в число поддерживаемых операционных систем. Подход с псевдонимом работает, потому что многие команды Docker имеют эквивалент Podman.
Но есть исключения, потому что некоторые команды Docker не имеют аналога в мире Podman. Точно так же некоторые команды ведут себя в Docker иначе, чем во вселенной Podman. В настоящее время это влияет только на обработку уже установленных томов.
Переключение немного сложнее при использовании графических инструментов, таких как Docker Desktop. Особенно это должно коснуться тех разработчиков, которые работают с Windows или macOS.
Пользователям настольных компьютеров Docker придется привыкнуть к командной строке, и то же самое касается Docker compose. Однако есть проект podman-compose. Программное обеспечение, написанное на Python, служит заменой Docker compose.
Заключительные слова
Замену Docker на Podman можно считать практически завершенной. Для пользователей и администраторов большинство аспектов этого изменения просты. Многие функции Docker имеют идентичные эквиваленты в Podman.
Реальным преимуществом является отсутствие единого процесса демона и привилегий root, не говоря уже о естественном использовании групп контейнеров. Однако стоит отметить, что Docker остается основной контейнерной технологией, но это, скорее всего, изменится в долгосрочной перспективе.
Вы также можете изучить некоторые команды Docker для управления контейнерами.
