Red Hat竞争激烈的Docker容器创造了一个重​​要的里程碑

红帽于1月17日宣布其开源Podman项目的1.0版本，该项目提供了一个功能齐全的容器引擎。在Podman1.0中，RedHat集成了多个核心安全功能，以使组织能够安全地运行容器。安全功能包括无根容器和增强的用户命名空间支持，以实现更好的容器隔离。

容器为组织提供了一种在现有操作系统之上以虚拟化方法运行应用程序的方法。随着1.0版本的发布，RedHat现在也将Podman定位为DockerEngine技术的替代品，用于应用程序容器部署。

我们感觉到它的功能总和，以及项目的性能，安全性和稳定性，使得合理地转向1.0，”RedHat容器产品经理ScottMcCarty告诉eWEEK。“由于Podman将成为RedHatEnterpriseLinux8中单节点用例的默认容器引擎，我们希望对其可支持性做出一些承诺。”

McCarty解释说，对于容器节点集群，RedHatOpenShift容器平台中的CRI-O技术将是默认设置。OpenShift容器平台是RedHat分发的Kubernetes容器编排平台。

RedHat已于2018年10月在其商业支持的RedHatEnterpriseLinux(RHEL)7.6版本中集成了1.0版之前的Podman版本.McCarty表示，RHEL7和RHEL8都将更新为包含Podman1.0。RHEL8目前处于私人测试阶段。

OpenShift

CRI-O是Kubernetes容器运行时，是RedHatOpenShift的核心。CRI-O于2017年10月达到1.0里程碑.McCarty表示，Podman最初设计用于OpenShift节点，以帮助管理CRI-O下的容器/存储，但它已经发展到更多。

“首先，Podman被设计为人类使用-它易于使用，并且具有非常直观的命令行体验，”McCarty说。

用户在节点级别与Podman交互-这包括在单个节点上查找，运行，构建和共享容器。即使在数千个容器主机的集群中，McCarty也表示，使用像Podman这样的功能丰富的工具可以对单个节点进行故障排除和修补是很有用的。

“采用Kubernetes的一个主要挑战是KubernetesYAML的学习曲线，它定义了运行容器，”McCarty说。

KubernetesYAML提供配置信息以使容器运行。为了帮助用户使用RedHatOpenShift，McCarty说Podman有“podmangeneratekube”命令。使用该功能，Podman用户可以在主机上以交互方式创建一个pod，然后Podman可以创建并导出为Kubernetes兼容的YAML。

“然后，OpenShift可以使用这个YAML在Kubernetes中创建相同的pod或容器，在任何集群中甚至可以在同一个集群中多次创建，在任何需要应用程序的地方都可以打印出许多副本，”McCarty解释说。“用户甚至不必知道如何编写KubernetesYAML，这对于容器编排引擎新手来说是一个很大的帮助。”

安全

Podman的一个关键属性是提高了安全性。某些容器部署的一个挑战是它们使用root访问权限进行部署，这可能会带来风险。

1月14日，安全供应商Cyber​​Ark在Play-with-Docker社区网站上报告了一个此类特权容器风险，这可能使攻击者有可能获得对底层主机的访问权限。对于容器，基本思想是运行容器应该是隔离的，但如果用户具有root权限，则可能会绕过该隔离。

Podman具有无根容器的概念，不需要提升权限即可运行。McCarty说，要使用无根容器，用户不需要做任何特别的事情。

Podman的另一个关键概念是它不需要运行新的系统守护程序。RedHat的咨询软件工程师DanWalsh解释说，如果用户要将单个服务作为容器运行，那么必须设置另一个服务来运行容器是一个很大的开销。

沃尔什告诉eWEEK，“迫使所有容器通过一个守护程序运行，迫使你对容器的默认安全性有一个最小公分母。”“通过将容器引擎分离成独立的工具，如CRI-O，Buildah和Podman，我们可以为每个引擎提供适当的安全级别。”

Walsh补充说，Podman还允许用户在单独的用户名称空间中运行每个容器，从而进一步隔离。从安全审计的角度来看，他指出“Podmantop”命令可用于实际揭示有关容器内运行内容的安全信息。

Podman用法

McCarty表示，RedHat正在将Podman用作DockerEngine的替代品，以便在主机上运行容器。

McCarty说，Fedora和openSUSE社区似乎在采用Podman方面处于领先地位，但RedHat也看到它打包并用于许多其他发行版，包括Ubuntu，Debian，Arch和Gentoo等等。

“Podman本质上以本机Linux速度运行，因为没有守护进程妨碍处理客户端/服务器请求，”他说。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。