Podman: различия между версиями

Материал из ALT Linux Wiki
(Создание страницы посвященой установке и настройке Podman)
 
мНет описания правки
Строка 1: Строка 1:
= Podman =
Инструкция по установке<br>
Инструкция по установке<br>


== Установка ==
== Установка ==
Установить podman можно следующей командой:
Установить {{pkg|podman}} можно следующей командой:
: <code># apt-get install podman</code>
<syntaxhighlight lang="bash"># apt-get install podman</syntaxhighlight>


== Rootless режим ==
== Rootless режим ==
Для использования podman непривилегированными пользователями, необходимо произвести ряд дополнительных действий по настройке прав:
Для использования podman непривилегированными пользователями, необходимо произвести ряд дополнительных действий по настройке прав:
Разрешить создание пользовательских пространств имён
# Разрешить создание пользовательских пространств имён:
: <code># sysctl kernel.unprivileged_userns_clone=1</code>
#: <syntaxhighlight lang="bash"># sysctl kernel.unprivileged_userns_clone=1
: <code># echo 'kernel.unprivileged_userns_clone=1' >> /etc/sysctl.d/42-podman.conf</code>
# echo 'kernel.unprivileged_userns_clone=1' >> /etc/sysctl.d/42-podman.conf</syntaxhighlight>
 
# Предоставить права на запуск исполняемых файлов {{path|/usr/bin/newuidmap}} и {{path|/usr/bin/newgidmap}} пользователям, не являющимся владельцами файла и не принадлежащим к группе владельца файла:
Предоставить права на запуск исполнямых файлов /usr/bin/newuidmap и /usr/bin/newgidmap пользователям, не являющимся владельцами файла и не принадлежащим к группе владельца файла
#: <syntaxhighlight lang="bash"># chmod o+x /usr/bin/newuidmap
: <code># chmod o+x /usr/bin/newuidmap</code>
# chmod o+x /usr/bin/newgidmap</syntaxhighlight>
: <code># chmod o+x /usr/bin/newgidmap</code>
# Поскольку эти исполняемые файлы обращаются к системным вызовам setuid() и setgid(), чтобы лишний раз не выдавать SUID бит, задайте этим файлам соответствующие file capabilities:
 
#:<syntaxhighlight lang="bash"># setcap cap_setuid+ep /usr/bin/newuidmap
Поскольку эти исполняемые файлы обращаются к системным вызовам setuid() и setgid(), чтобы лишний раз не выдавать SUID бит, задайте этим файлам соответствующие file capabilities
# setcap cap_setgid+ep /usr/bin/newgidmap</syntaxhighlight>
: <code># setcap cap_setuid+ep /usr/bin/newuidmap</code>
: <code># setcap cap_setgid+ep /usr/bin/newgidmap</code>


Этих действий достаточно для запуска podman непривилегированными пользователями
Этих действий достаточно для запуска podman непривилегированными пользователями.


== Запуск образов ==
== Запуск образов ==
Podman предоставляет совместимый с Docker интерфейс CLI, а следовательно допустимо настроить при необходимости alias docker=podman
Podman предоставляет совместимый с Docker интерфейс CLI, а следовательно допустимо настроить при необходимости alias docker=podman:
: <code># echo "alias docker=podman" >> ~/.bashrc</code>
<syntaxhighlight lang="bash"># echo "alias docker=podman" >> ~/.bashrc</syntaxhighlight>


Загрузка образа из репозитория
Загрузка образа из репозитория:
: <code># podman pull registry.altlinux.org/alt/alt</code>
<syntaxhighlight lang="bash"># podman pull registry.altlinux.org/alt/alt</syntaxhighlight>


Запуск контейнера из образа
Запуск контейнера из образа:
: <code># podman run -it --name alt registry.altlinux.org/alt/alt </code>
<syntaxhighlight lang="bash"># podman run -it --name alt registry.altlinux.org/alt/alt</syntaxhighlight>


== Ссылки ==
== Ссылки ==

Версия от 10:25, 30 мая 2023

Инструкция по установке

Установка

Установить podman можно следующей командой:

# apt-get install podman

Rootless режим

Для использования podman непривилегированными пользователями, необходимо произвести ряд дополнительных действий по настройке прав:

  1. Разрешить создание пользовательских пространств имён:
    # sysctl kernel.unprivileged_userns_clone=1
    # echo 'kernel.unprivileged_userns_clone=1' >> /etc/sysctl.d/42-podman.conf
    
  2. Предоставить права на запуск исполняемых файлов /usr/bin/newuidmap и /usr/bin/newgidmap пользователям, не являющимся владельцами файла и не принадлежащим к группе владельца файла:
    # chmod o+x /usr/bin/newuidmap
    # chmod o+x /usr/bin/newgidmap
    
  3. Поскольку эти исполняемые файлы обращаются к системным вызовам setuid() и setgid(), чтобы лишний раз не выдавать SUID бит, задайте этим файлам соответствующие file capabilities:
    # setcap cap_setuid+ep /usr/bin/newuidmap
    # setcap cap_setgid+ep /usr/bin/newgidmap
    

Этих действий достаточно для запуска podman непривилегированными пользователями.

Запуск образов

Podman предоставляет совместимый с Docker интерфейс CLI, а следовательно допустимо настроить при необходимости alias docker=podman:

# echo "alias docker=podman" >> ~/.bashrc

Загрузка образа из репозитория:

# podman pull registry.altlinux.org/alt/alt

Запуск контейнера из образа:

# podman run -it --name alt registry.altlinux.org/alt/alt

Ссылки

Документация
Настройка rootless в Podman
Репозиторий образов ALT