Dieses Tutorial f\u00fchrt ein in:<\/p>\n\n\n\n
Viel Spa\u00df beim Lesen und Freude beim Nachmachen. Falls euch das Tutorial gef\u00e4llt, freue ich mich \u00fcber einen Kommentar. Falls ich etwas ausgelassen oder falsch dargestellt habe, freue ich mich ebenfalls \u00fcber einen Hinweis in den Kommentaren oder per E-Mail.<\/p>\n\n\n\n
Um sich im Container-Dschungel zurechtzufinden, ist eine fundierte Kenntnis der Terminologie unerl\u00e4sslich. Die Einf\u00fchrung in die Terminologie ist jedoch nicht Bestandteil dieses Tutorials, da es den Umfang sprengen w\u00fcrde.<\/p>\n\n\n\n
Unter folgenden Links kann man sich mit der Terminologie vertraut machen:<\/p>\n\n\n\n
Leider wird die Terminologie selbst von jenen nicht stringent verwendet, die sie eigentlich kennen m\u00fcssten. Dies sorgt gerade beim Einstieg in dieses komplexe Thema h\u00e4ufig f\u00fcr Verwirrung. Ich versuche in diesem Artikel so stringent wie m\u00f6glich zu sein.<\/p>\n\n\n\n
F\u00fcr dieses Tutorial habe ich eine Installation mit Debian 11.1 (Bullseye) verwendet. Auf dem Host existieren die beiden User Alice und Bob, welche f\u00fcr die Nutzung von rootless-Podman vorbereitet werden.<\/p>\n\n\n\n
Rootless-Container haben die Eigenschaft, dass sie in User Namespaces<\/em> (siehe user_namespaces(7) und namespaces(7)) ausgef\u00fchrt werden. UIDs und GIDs, welche innerhalb des Containers existieren, werden dabei auf UIDs\/GIDs des Hosts abgebildet. So besitzt ein Prozess, welcher innerhalb eines Containers mit der UID 0 (root) l\u00e4uft, au\u00dferhalb des Containers bspw. die UID 165537 und damit die Rechte eines normalen Benutzers.<\/p>\n\n\n\n Damit dies funktioniert, wird jedem Benutzer, welcher in der Lage sein soll rootless-Podman-Container auszuf\u00fchren, ein disjunktes Intervall sogenannter SUBUIDs und SUBGIDs zugewiesen. Dazu werden zuerst das Paket Ich habe mich hier an der RHEL 8 Dokumentation<\/a> orientiert, welche am Ende des Artikels verlinkt ist. Dar\u00fcber hinaus ist das Vorgehen in der Manpage podman(1) im Abschnitt „Rootless mode“ dokumentiert.<\/p>\n\n\n\n Nun werden In der Datei \/etc\/containers\/registries.conf<\/em> befindet sich die systemweite Konfiguration f\u00fcr Container-Registries. Jeder Benutzer kann abweichend von dieser eine eigene Konfiguration unter $HOME\/.config\/containers\/registries.conf<\/em> pflegen.<\/p>\n\n\n\n Bevor nun die ersten Container-Registries konfiguriert werden, m\u00f6chte ich kurz auf voll-qualifizierte Image-Namen und Pr\u00e4fixe eingehen.<\/p>\n\n\n\n Im Internet findet man h\u00e4ufig Beispiele f\u00fcr Befehle wie Obige Kurznamen haben das Problem, dass durch ihre Verwendung nicht spezifiziert wird, aus welcher Container-Registry das Image heruntergeladen werden soll. Existiert ein Image mit gleichem Namen in diversen Container-Registries, wird es aus der ersten heruntergeladen, in der es gefunden wurde. Dies stellt ein potenzielles Sicherheitsrisiko dar!<\/p>\n\n\n\n Nehmen wir an, auf einem System sind die Container-Registries registry-1.de<\/em> und registry-2.de<\/em> konfiguriert. Das Es wird daher dringend empfohlen, stets den voll-qualifizierten Image-Namen zu verwenden, um vorstehend beschriebenes Sicherheitsrisiko auszuschlie\u00dfen. Der voll-qualifizierte Name hat dabei folgende Form:<\/p>\n\n\n\n Statt einem F\u00fcr dieses Tutorial werden mehrere Registries durch folgenden Eintrag in der Datei \/etc\/containers\/registries.conf<\/strong> konfiguriert:<\/p>\n\n\n\n Diese habe ich dem englischsprachigen Artikel unter 2<\/a> entnommen und um die Registries aus \/etc\/containers\/registries.conf.d\/shortnames.conf<\/strong> erg\u00e4nzt. Letztere Datei stammt aus dem Paket Auf diese Weise k\u00f6nnen Shortnames gefahrlos verwendet werden.<\/p>\n\n\n\n Bitte beachtet, dass f\u00fcr die Nutzung folgender Registries eine Authentifizierung notwendig ist, f\u00fcr die ein Account bei der jeweiligen Registry erforderlich ist:<\/p>\n\n\n\n Wie man sich an einer Registry authentisiert, wird im Abschnitt Anmeldung an einer Container-Registry<\/a> erl\u00e4utert.<\/p>\n\n\n\n Jetzt, da einige Registries konfiguriert sind, k\u00f6nnen wir zum n\u00e4chsten Abschnitt \u00fcbergehen und mit Podman nach Images suchen.<\/p>\n\n\n\n Mit folgendem Kommando durchsucht man die konfigurierten Registries nach einem Image f\u00fcr ‚debian‘:<\/p>\n\n\n\n Auf meinem System lieferte die Suche nach ‚debian‘ 271 Treffer zur\u00fcck. Die Ausgabe wurde zur besseren \u00dcbersicht gek\u00fcrzt. In der Spalte ‚INDEX‘ findet sich der Name der Registry, aus der ein Suchergebnis stammt, gefolgt von der Spalte ‚NAME‘, welche den Namen des gefundenen Repositorys enth\u00e4lt. Nutzer k\u00f6nnen f\u00fcr einzelne Repos Sterne vergeben, wenn sie diese besonders toll finden. Dies wird in der Spalte ‚STARS‘ ausgedr\u00fcckt.<\/p>\n\n\n\n Laut Manpage podman-search(1) dr\u00fcckt ein „[OK]“ in Spalte ‚OFFICIAL‘ aus, dass es sich hierbei um ein offizielles Image handelt. Mir ist Stand heute noch unklar, wer diesen Status in den einzelnen Registries vergibt. Er ist in meinen Augen mit etwas Vorsicht zu genie\u00dfen.<\/p>\n\n\n\n Die Spalte ‚AUTOMATED‘ gibt an, ob das Image automatisiert erstellt wurde und ‚DESCRIPTION‘ sollte selbsterkl\u00e4rend sein.<\/p>\n\n\n\n Die Suche bietet einige Filterm\u00f6glichkeiten. So kann man mit folgender Suche nach offiziellen Images filtern:<\/p>\n\n\n\n Damit ist die Ausgabe schon \u00fcbersichtlicher, viele Informationen bietet sie allerdings nicht. Der folgende Abschnitt zeigt eine M\u00f6glichkeit auf, sich etwas mehr Informationen zu verschaffen.<\/p>\n\n\n\n Mit Die Ausgabe obigen Kommandos wird hier stark gek\u00fcrzt dargestellt. Neben dem Namen befinden sich darin u.a. Informationen zu vorhandenen Tags, das Erstellungsdatum, Layer und Angaben zum Environment:<\/p>\n\n\n\n Probiert dieses Kommando ruhig einmal selbst aus und bl\u00e4ttert durch die sehr umfangreiche Tag-Liste. Hier wird deutlich, dass es sich um ein Repository und nicht um ein einzelnes Image handelt. Neben Bullseye lassen sich hier noch Images f\u00fcr Buster, Stretch, Jessie und weitere herunterladen.<\/p>\n\n\n\n Ich selbst verwende An dieser Stelle sei darauf hingewiesen, dass zu den meisten Repos eine Webseite existiert, auf der sich weitere Informationen zu einem Repo bzw. Image finden lassen. Hier finden sich oft auch Hinweise, wie ein Image bei der Instanziierung zu parametrisieren ist.<\/p>\n\n\n\n Es braucht dann leider doch mehr als ein Werkzeug, um einen guten \u00dcberblick zu bekommen.<\/p>\n\n\n\n Bisher wurde in diesem Tutorial nur die frei zug\u00e4ngliche Registry „docker.io“ verwendet. Neben dieser existieren noch viele weitere Registries. Auf einige davon darf man erst nach erfolgreicher Authentifizierung zugreifen bzw. sind einige Inhalte erst nach erfolgreicher Authentifizierung zug\u00e4nglich.<\/p>\n\n\n\n Meist muss man sich zuerst \u00fcber die Webseite einer Registry registrieren, um Zugangsdaten zu erhalten, welche man dann im Terminal verwenden kann.<\/p>\n\n\n\n Vorstehender Code-Block zeigt ein einfaches Beispiel f\u00fcr einen Login-Vorgang. Die Manpage podman-login(1) verr\u00e4t, dass Benutzername und Passwort base64-codiert in der Datei Hinweis:<\/em> Bei Base64-Codierung handelt es sich um keine Sicherheitsfunktion, zum Schutz der Zugangsdaten. Diese werden quasi als Klartext gespeichert.<\/p>\n\n\n\n Die Zugangsdaten werden in der Datei Der folgende Befehl zeigt, wie das Container-Image f\u00fcr Debian Bullseye aus dem Repo ‚debian‘ der Registry ‚docker.io‘ heruntergeladen wird:<\/p>\n\n\n\n Das Image wird im lokalen Image-Speicher abgelegt. Dieser befindet sich bei Rootless-Podman unterhalb von .local\/share\/containers\/storage\/overlay-images\/<\/em>. Die lokal gespeicherten Images kann man sich mit dem folgenden Kommando auflisten lassen:<\/p>\n\n\n\n Auf meinem Beispielsystem existiert aktuell nur das soeben heruntergeladene Debian-Image sowie ein UBI8-Image.<\/p>\n\n\n\n An dieser Stelle m\u00f6chte ich in Erinnerung bringen, dass es sich bei Linux-Containern um zustandslose Prozesse handelt, welche in Kernel-Namespaces ausgef\u00fchrt werden. F\u00fcr wen dies eine v\u00f6llig neue Erkenntnis ist, der sei auf die Artikel unter 3<\/a>, 4<\/a> und 5<\/a> verwiesen.<\/p>\n\n\n\n In den folgenden Unterpunkten f\u00fchre ich noch einige wenige Beispiele exemplarisch auf. F\u00fcr weitere Optionen sie auf die Manpage podman(1) verwiesen, welche einen \u00dcberblick \u00fcber allgemeine Optionen und Verweise zu verf\u00fcgbaren Podman-Kommandos bietet.<\/p>\n\n\n\n Dieses Beispiel zeigt, wie ein Container von einem lokal gespeicherten Image instanziiert wird, einen einzigen Befehl ausf\u00fchrt, dessen Ausgabe nach STDOUT schreibt und danach beendet und entfernt wird:<\/p>\n\n\n\n Der Container existierte nur f\u00fcr die Zeit, die zur Ausf\u00fchrung des Befehls M\u00f6chte man einen Dienst in einem Container laufen lassen, so gibt es daf\u00fcr die Option ‚-d‘, mit welcher man den Container im Hintergrund startet. Ich demonstriere dies an einem kleinen Webserver:<\/p>\n\n\n\n Da noch kein Image f\u00fcr ‚httpd‘ im lokalen Image-Speicher existiert, wird dieses automatisch heruntergeladen. Mit der Option Folgender Code-Block zeigt, dass nun ein einfacher Webserver l\u00e4uft, welcher die Standard-HTML-Seite „It works!“ ausliefert:<\/p>\n\n\n\n Der Container l\u00e4uft, bis er durch einen Neustart des Betriebssystems oder manuell durch den Benutzer beendet wird.<\/p>\n\n\n\n Um einen im Hintergrund laufenden Container zu stoppen, wird zun\u00e4chst dessen ID ben\u00f6tigt. Diese ist in der ersten Spalte der Ausgabe des Kommandos Gestoppt wird der Container mit folgendem Befehl:<\/p>\n\n\n\n Es wird die vollst\u00e4ndige ID des Containers ausgegeben. Diese kann genutzt werden, um den Container zu entfernen ( Wird ein Container nur gestoppt, bleibt seine Konfiguration erhalten, sodass er mit den gleichen Optionen wieder gestartet werden kann. Eine \u00dcbersicht \u00fcber gestoppte oder anderweitig beendete Container bietet das folgende Kommando:<\/p>\n\n\n\n Eine \u00dcbersicht \u00fcber laufende Container bietet das folgende Kommando:<\/p>\n\n\n\n M\u00f6chte man einen Container entfernen, so geschieht dies mit dem Kommando M\u00f6chte man auch das Image entfernen, so geschieht dies mit folgendem Befehl:<\/p>\n\n\n\n Bei ‚b1e63aaae5cf‘ handelt es sich um die Image-ID, welche in der Ausgabe von Container sind, wie bereits erw\u00e4hnt, zustandslose Objekte. M\u00f6chte man Daten persistent speichern, k\u00f6nnen daf\u00fcr sogenannte Podman-Volumes verwendet werden.<\/p>\n\n\n\n So ist es bspw. m\u00f6glich, ein Verzeichnis vom Host in einen Container hinein zu mounten. Schreibt der Container-Prozess nun Daten in diesem Mountpoint, bleiben diese erhalten, nachdem der Container gel\u00f6scht wurde. Sie k\u00f6nnen sp\u00e4ter in eine neue Container-Instanz hinein gemountet werden.<\/p>\n\n\n\n Im folgenden Code-Block wird ein Verzeichnis im HOME-Verzeichnis eines normalen Nutzers erstellt und anschlie\u00dfend in einen Container eingeh\u00e4ngt. Der Einh\u00e4ngepunkt im Container muss dabei bereits im Container-Image existieren. Der Container erstellt eine Datei namens TEST in diesem Volume. Anschlie\u00dfend wird der Container beendet und entfernt. Die erstellte Datei befindet sich weiterhin in dem Verzeichnis auf dem Host.<\/p>\n\n\n\n Die Option ‚Z‘ sorgt daf\u00fcr, dass der SELinux-Datei-Kontext f\u00fcr das Verzeichnis korrekt gesetzt wird, sodass der Container auf dieses Volumen zugreifen kann. F\u00fcr weitere Details siehe Option ‚-v‘ in podman-run(1).<\/p>\n\n\n\n Mit podman-volume(1) stellt Podman ein einfaches Verwaltungswerkzeug f\u00fcr Podman-Volumes zur Verf\u00fcgung. Folgendes Code-Beispiel zeigt, wie mit podman-volume-create(1) ein Volume mit einem eindeutigen Beizeichner (testdir2) erstellt wird. Anschlie\u00dfend wird dieses, wie im vorangehenden Beispiel, in einen Container eingeh\u00e4ngt und die Datei TESTDATEI hineingeschrieben.<\/p>\n\n\n\n Doch wo findet man nun die TESTDATEI au\u00dferhalb des Containers wieder? Wo befindet sich der Speicherort des zuvor erstellten Volumes ‚testdir2‘? Auskunft dar\u00fcber gibt das Kommando Der Schl\u00fcssel Mountpoint gibt den Volume-Pfad an. Und tats\u00e4chlich findet sich dort die TESTDATEI:<\/p>\n\n\n\n Die TESTDATEI geh\u00f6rt Alice, welche den Container-Prozess gestartet hat. M\u00f6chte man den Inhalt eines Volumes sichern, kann man die enthaltenen Verzeichnisse und Dateien mit bekannten Mitteln kopieren oder mittels podman-volume-export(1) in ein TAR-Archiv verpacken:<\/p>\n\n\n\n Ben\u00f6tigt man das Volume nicht mehr, kann man es inkl. seines Inhalts mit dem folgenden Befehl l\u00f6schen:<\/p>\n\n\n\n M\u00f6chte man sich die existierenden Volumes anzeigen lassen, gelingt dies mit dem folgenden Befehl:<\/p>\n\n\n\n Der Spalte DRIVER ist zu entnehmen, dass alle diese Volumes im lokalen Dateisystem gespeichert sind. \u00dcber weitere Storage-Backends kann ich an dieser Stelle leider noch keine Aussage treffen, da mir hierzu noch das notwendige Wissen fehlt.<\/p>\n\n\n\n Zum Abschluss dieses Abschnitts noch der Befehl, mit dem sich alle ungenutzten Volumes entfernen lassen:<\/p>\n\n\n\n Achtung:<\/strong> Bei folgendem Kommando ist Vorsicht geboten. Ein genauer Blick darauf, welche Volumes entfernt werden sollen, lohnt sich. Andernfalls droht Datenverlust.<\/p>\n\n\n\n An dieser Stelle m\u00f6chte ich den kurzen \u00dcberblick \u00fcber die Podman-Volume-Befehle beenden. Wer sich weitergehend damit auseinandersetzen m\u00f6chte, findet \u00fcber die Manpage podman-volume(1) einen guten Einstieg.<\/p>\n\n\n\n Am Ende dieses Tutorials sollte man in der Lage sein, Rootless-Podman auf Debian Bullseye einzurichten. Mit ein wenig Abstraktionsverm\u00f6gen sollte dies auch auf weiteren Distributionen gelingen.<\/p>\n\n\n\n Die grundlegenden Befehle zur Bedienung und Nutzung wurden kurz vorgestellt, sodass man nun \u00fcber das n\u00f6tige Wissen verf\u00fcgt, die ersten eigenen Schritte mit dieser noch recht jungen Technologie zu unternehmen.<\/p>\n\n\n\n F\u00fcr eure ersten Versuche mit Podman w\u00fcnsche ich euch viel Spa\u00df und Erfolg.<\/p>\n\n\n\n Dieses Tutorial f\u00fchrt ein in: Die Einrichtung von rootless-Podman unter Debian Bullseye Die Konfiguration von Container-Registries Die Suche nach Container-Repos mit Podman Die Inspektion von Remote-Repos mit Skopeo Anmeldung an einer Container-Registry Den Download (Pull) von Container-Images mit Podman Container Starten, Stoppen und Entfernen mit Podman Die Verwaltung von Container-Prozessen und -Images Die persistente Speicherung [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[3],"tags":[654,430,305,606,657,658,656,655],"class_list":["post-3001","post","type-post","status-publish","format-standard","hentry","category-tutorials","tag-bullseye","tag-osbn","tag-planet","tag-podman","tag-podman-login","tag-podman-run","tag-podman-volume","tag-rootless-podman"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/3001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=3001"}],"version-history":[{"count":9,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/3001\/revisions"}],"predecessor-version":[{"id":3131,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/3001\/revisions\/3131"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=3001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=3001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=3001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}uidmap<\/code> installiert und anschlie\u00dfend die Dateien \/etc\/subuid<\/em> und \/etc\/subgid<\/em> erzeugt, wie in folgendem Codeblock dargestellt.<\/p>\n\n\n\nsudo apt install uidmap\n[...]\n$ cat \/etc\/subuid\nalice:100000:65536\nbob:165536:65536\n\n$ cat \/etc\/subgid\nalice:100000:65536\nbob:165536:65536<\/code><\/pre>\n\n\n\npodman<\/code> und skopeo<\/code> installiert, welche im weiteren Verlauf dieses Tutorials zum Einsatz kommen werden.<\/p>\n\n\n\nsudo apt install podman skopeo<\/code><\/pre>\n\n\n\nDie Konfiguration von Container-Registries<\/h2>\n\n\n\n
podman pull ubuntu<\/code>. Dabei ist podman<\/code> das Kommando, pull<\/code> ein Subkommando und ubuntu<\/code> der Kurzname des herunterzuladenden Images.<\/p>\n\n\n\nubuntu<\/code>-Image befindet sich unter registry-2.de\/canonical\/ubuntu<\/code>. Stellt nun jemand ein Image gleichen Namens unter registry-1.de\/boeserbube\/ubuntu<\/code> ein, wird bei Ausf\u00fchrung des oben genannten Kommandos mit Image-Kurznamen das falsche Container-Image heruntergeladen. Dies birgt die Gefahr, dass auf diesem Wege mit Schadcode angereicherte Container-Images ihren Weg ins System finden.<\/p>\n\n\n\nhost[:port]\/namespace[_namespace_...]\/repo(:_tag|@digest)<\/code><\/pre>\n\n\n\nletzte<\/s> Version mit dem Tag latest heruntergeladen. Nur wenn man explizit einen Tag angibt, kann man sicher sein, welche Version man bekommt (Vielen Dank an Dirk f\u00fcr diesen Hinweis<\/a>).<\/li><\/ul>\n\n\n\npodman pull ubuntu<\/code> wird also ein podman pull registry-2.de\/canonical\/ubuntu<\/code> empfohlen. Dabei stellt registry-2.de<\/code> den Host, canonical<\/code> den Namespace und ubuntu<\/code> das Repository dar. Bei Verwendung der Docker-Registry f\u00fchrt man so nicht podman pull ubuntu<\/code> aus, sondern stattdessen podman pull docker.io\/library\/ubuntu<\/code>.<\/p>\n\n\n\nunqualified-search-registries = ['registry.fedoraproject.org', 'registry.access.redhat.com', 'registry.centos.org', 'quay.io', 'registry.opensuse.org', 'registry.suse.com', 'docker.io']<\/code><\/pre>\n\n\n\ngolang-github-containers-common<\/code> und stellt Aliase\/Shortnames bereit, mit denen man sich einige Tipparbeit ersparen kann, da sie die Shortnames mit den entsprechenden Registries verkn\u00fcpft. So sorgt z. B. der folgende Eintrag daf\u00fcr, dass der Befehl podman pull rhel7<\/code> das Image ausschlie\u00dflich aus der Registry „registry.access.redhat.com\/rhel7“ herunterl\u00e4dt und aus keiner anderen.<\/p>\n\n\n\n[aliases]\n \"rhel7\" = \"registry.access.redhat.com\/rhel7\"<\/code><\/pre>\n\n\n\nDie Suche von Container-Images mit Podman<\/h2>\n\n\n\n
$ podman search debian\nINDEX NAME DESCRIPTI\nON STARS OFFICIAL AUTOMATED\ndocker.io docker.io\/library\/debian Debian is\n a Linux distribution that's compos... 4036 [OK] \ndocker.io docker.io\/smartentry\/debian debian wi\nth smartentry 6 [OK]\ndocker.io docker.io\/library\/ubuntu Ubuntu is\n a Debian-based Linux operating sys... 12971 [OK]\n[Ausgabe gek\u00fcrzt]<\/code><\/pre>\n\n\n\n$ podman search --filter is-official debian\nINDEX NAME DESCRIPTION STARS OFFICIAL AUTOMATED\ndocker.io docker.io\/library\/debian Debian is a Linux distribution that's compos... 4036 [OK] \ndocker.io docker.io\/library\/ubuntu Ubuntu is a Debian-based Linux operating sys... 12971 [OK]<\/code><\/pre>\n\n\n\nDie Inspektion von Remote-Repos mit Skopeo<\/h2>\n\n\n\n
skopeo<\/code> k\u00f6nnen aus dem Terminal heraus weitere Informationen \u00fcber ein Remote-Repo abgerufen werden, z.B. f\u00fcr den ersten Suchtreffer von oben:<\/p>\n\n\n\nskopeo inspect docker:\/\/docker.io\/library\/debian<\/code><\/pre>\n\n\n\n{\n \"Name\": \"docker.io\/library\/debian\",\n \"Digest\": \"sha256:4d6ab716de467aad58e91b1b720f0badd7478847ec7a18f66027d0f8a3\n29a43c\",\n \"RepoTags\": [\n \"10.11\",\n[...]\n \"bookworm-20211011\",\n \"bookworm-20211011-slim\",\n \"bookworm-backports\",\n \"bookworm-slim\",\n \"bullseye\",\n \"bullseye-20190708\",\n \"bullseye-20190708-slim\",\n \"bullseye-20190812\",\n \"bullseye-20190812-slim\",\n \"bullseye-20190910\",\n[...]\n \"bullseye-20211011\",\n \"bullseye-20211011-slim\",\n \"bullseye-backports\",\n \"bullseye-slim\",\n \"buster\",\n[...] \n ],\n \"Created\": \"2021-10-12T01:20:30.89167925Z\",\n \"DockerVersion\": \"20.10.7\",\n \"Labels\": null,\n \"Architecture\": \"amd64\",\n \"Os\": \"linux\",\n \"Layers\": [\n \"sha256:bb7d5a84853b217ac05783963f12b034243070c1c9c8d2e60ada47444f3cce04\n\"\n ],\n \"Env\": [\n \"PATH=\/usr\/local\/sbin:\/usr\/local\/bin:\/usr\/sbin:\/usr\/bin:\/sbin:\/bin\"\n ]\n}<\/code><\/pre>\n\n\n\nskopeo<\/code> prim\u00e4r, um mir einen \u00dcberblick \u00fcber die verf\u00fcgbaren Tags zu verschaffen, um dar\u00fcber das f\u00fcr mich am besten geeignete Image ausw\u00e4hlen zu k\u00f6nnen.<\/p>\n\n\n\nAnmeldung an einer Container-Registry<\/h2>\n\n\n\n
$ podman login quay.io\nUsername: alice\nPassword:\nLogin Succeeded!<\/code><\/pre>\n\n\n\n${XDG_RUNTIME_DIR}\/containers\/auth.json<\/code> gespeichert werden. Dabei l\u00f6st ${XDG_RUNTIME_DIR}<\/code> zu \/run\/user\/<\/em> auf, welches von der entsprechenden UID und Prozessen mit root-Rechten zugreifbar ist.<\/p>\n\n\n\nauth.json<\/code> gespeichert, bis man sich wieder abmeldet (z.B. mit podman logout<\/code>) oder der Host neu gestartet wird. Weitere Informationen dazu bieten die Manpages podman-login(1) und containers-auth.json(5).<\/p>\n\n\n\nDen Download (Pull) von Container-Images mit Podman<\/h2>\n\n\n\n
$ podman pull docker.io\/library\/debian:bullseye\nTrying to pull docker.io\/library\/debian:bullseye...\nGetting image source signatures\nCopying blob bb7d5a84853b done \nCopying config f776cfb21b done \nWriting manifest to image destination\nStoring signatures\nf776cfb21b5e06bb5b4883eb15c09ab928a411476b8275293c7f96d09b90f7f9<\/code><\/pre>\n\n\n\n$ podman images\nREPOSITORY TAG IMAGE ID CREATED SIZE\nregistry.access.redhat.com\/ubi8 latest b1e63aaae5cf 7 days ago 233 MB\ndocker.io\/library\/debian bullseye f776cfb21b5e 3 weeks ago 129 MB<\/code><\/pre>\n\n\n\nContainer starten, stoppen und entfernen mit Podman<\/h2>\n\n\n\n
Befehl in einem Container ausf\u00fchren<\/h3>\n\n\n\n
$ podman run --rm ubi8 cat \/etc\/os-release\nNAME=\"Red Hat Enterprise Linux\"\nVERSION=\"8.4 (Ootpa)\"\nID=\"rhel\"\nID_LIKE=\"fedora\"\nVERSION_ID=\"8.4\"\nPLATFORM_ID=\"platform:el8\"\nPRETTY_NAME=\"Red Hat Enterprise Linux 8.4 (Ootpa)\"\nANSI_COLOR=\"0;31\"\nCPE_NAME=\"cpe:\/o:redhat:enterprise_linux:8.4:GA\"\nHOME_URL=\"https:\/\/www.redhat.com\/\"\nDOCUMENTATION_URL=\"https:\/\/access.redhat.com\/documentation\/red_hat_enterprise_linux\/8\/\"\nBUG_REPORT_URL=\"https:\/\/bugzilla.redhat.com\/\"\n\nREDHAT_BUGZILLA_PRODUCT=\"Red Hat Enterprise Linux 8\"\nREDHAT_BUGZILLA_PRODUCT_VERSION=8.4\nREDHAT_SUPPORT_PRODUCT=\"Red Hat Enterprise Linux\"\nREDHAT_SUPPORT_PRODUCT_VERSION=\"8.4\"<\/code><\/pre>\n\n\n\ncat \/etc\/os-release<\/code> erforderlich war. Die Ausgabe l\u00e4sst erkennen, dass das Image ubi8 ein Userland aus RHEL 8.4 bereitstellt.<\/p>\n\n\n\nEinen Dienst in einem Container starten<\/h3>\n\n\n\n
$ podman run -d -p 8080:80 httpd\n\u2714 docker.io\/library\/httpd:latest\nTrying to pull docker.io\/library\/httpd:latest...\nGetting image source signatures\nCopying blob 462e88bc3074 done \nCopying blob 21d69ac90caf done \nCopying blob ca52f3eeea66 done \nCopying blob 7d63c13d9b9b done \nCopying blob 448256567156 done \nCopying config 1132a4fc88 done \nWriting manifest to image destination\nStoring signatures\n3893630d276a7bfb4a3d8c74c5be8ad353b82c1f45081dec0d31b599a5856944<\/code><\/pre>\n\n\n\n-p 8080:80<\/code> wird der TCP-Port 8080 des Host-Betriebssystems mit dem Port 80 des Containers verkn\u00fcpft.<\/p>\n\n\n\n$ curl http:\/\/localhost:8080\n<html><body><h1>It works!<\/h1><\/body><\/html><\/code><\/pre>\n\n\n\nContainer stoppen<\/h3>\n\n\n\n
podman ps<\/code> enthalten:<\/p>\n\n\n\n$ podman ps\nCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES\n3893630d276a docker.io\/library\/httpd:latest httpd-foreground 16 minutes ago Up 2 minutes ago 0.0.0.0:8080->80\/tcp optimistic_visvesvaraya<\/code><\/pre>\n\n\n\n$ podman container stop 3893630d276a\n3893630d276a7bfb4a3d8c74c5be8ad353b82c1f45081dec0d31b599a5856944<\/code><\/pre>\n\n\n\npodman rm ID<\/code>) oder um ihn wieder zu starten (podman start ID<\/code>).<\/p>\n\n\n\n$ podman ps --all\nCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES\n3893630d276a docker.io\/library\/httpd:latest httpd-foreground 13 minutes ago Exited (0) 16 seconds ago 0.0.0.0:8080->80\/tcp optimistic_visvesvaraya<\/code><\/pre>\n\n\n\nDie Verwaltung von Container-Prozessen und -Images<\/h2>\n\n\n\n
$ podman ps\nCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES\n3893630d276a docker.io\/library\/httpd:latest httpd-foreground 16 minutes ago Up 2 minutes ago 0.0.0.0:8080->80\/tcp optimistic_visvesvaraya<\/code><\/pre>\n\n\n\npodman rm ID<\/code>. Dabei wird nur die Konfiguration des Containers entfernt, nicht das lokal gespeicherte Image. Folgender Code-Block verdeutlicht dies:<\/p>\n\n\n\n$ podman rm 4476cb9d7eec939281abfe0b12bdb8f2083154dbfbc138492b811e0389ad5bfa\n4476cb9d7eec939281abfe0b12bdb8f2083154dbfbc138492b811e0389ad5bfa\n\n$ podman ps --all\nCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES\n\n$ podman images\nREPOSITORY TAG IMAGE ID CREATED SIZE\nregistry.access.redhat.com\/ubi8 latest b1e63aaae5cf 7 days ago 233 MB\ndocker.io\/library\/httpd latest 1132a4fc88fa 11 days ago 148 MB\ndocker.io\/library\/debian bullseye f776cfb21b5e 3 weeks ago 129 MB<\/code><\/pre>\n\n\n\n$ podman rmi b1e63aaae5cf
Untagged: registry.access.redhat.com\/ubi8:latest
Deleted: b1e63aaae5cffb78e4af9f3a110dbad67e8013ca3de6d09f1ef496d00641e751<\/pre>\n\n\n\npodman images<\/code> zu sehen ist.<\/p>\n\n\n\nDie persistente Speicherung von Daten in Podman-Volumes<\/h2>\n\n\n\n
Beispiel: Verzeichnis vom Host in Container einh\u00e4ngen<\/h3>\n\n\n\n
$ mkdir testdir\n$ podman run --rm -v ~\/testdir:\/tmp:Z debian touch \/tmp\/TEST\n$ ls -l testdir\/\ntotal 0\n-rw-r--r--. 1 alice alice 0 7. Nov 14:01 TEST<\/code><\/pre>\n\n\n\nPodman-Volume erstellen und einh\u00e4ngen<\/h3>\n\n\n\n
$ podman volume create testdir2\ntestdir2\n$ podman run --rm -v testdir2:\/tmp:Z debian touch \/tmp\/TESTDATEI<\/code><\/pre>\n\n\n\npodman volume inspect VOLUMENAME<\/code>:<\/p>\n\n\n\n$ podman volume inspect testdir2\n[\n {\n \"Name\": \"testdir2\",\n \"Driver\": \"local\",\n \"Mountpoint\": \"\/home\/alice\/.local\/share\/containers\/storage\/volumes\/testdir2\/_data\",\n \"CreatedAt\": \"2021-11-07T14:39:56.557400855+01:00\",\n \"Labels\": {},\n \"Scope\": \"local\",\n \"Options\": {}\n }\n]<\/code><\/pre>\n\n\n\n$ ls -l \/home\/alice\/.local\/share\/containers\/storage\/volumes\/testdir2\/_data\ntotal 0\n-rw-r--r--. 1 alice alice 0 7. Nov 14:40 TESTDATEI<\/code><\/pre>\n\n\n\n$ podman volume export testdir2 -o testdir2.tar<\/code><\/pre>\n\n\n\n$ podman volume rm testdir2\ntestdir2<\/code><\/pre>\n\n\n\n$ podman volume ls\nDRIVER VOLUME NAME\nlocal vol1\nlocal vol2\nlocal vol3<\/code><\/pre>\n\n\n\n$ podman volume prune\nWARNING! This will remove all volumes not used by at least one container. The following volumes will be removed:\nvol1\nvol2\nvol3\nAre you sure you want to continue? [y\/N] y\nvol1\nvol2\nvol3<\/code><\/pre>\n\n\n\nFazit<\/h2>\n\n\n\n
Quellen und weiterf\u00fchrende Links<\/h2>\n\n\n\n