容器是现代计算的重要组成部分,随着围绕容器的基础设施不断发展,新的、更好的工具开始涌现。过去,您可以使用 LXC 运行容器,然后 Docker 流行起来,事情开始变得更加复杂。最终,我们得到了我们都应得的容器管理系统 Podman,这是一个无守护进程的容器引擎,使容器和 Pod 的构建、运行和管理变得容易。
容器直接与 Linux 内核的功能(如 cgroups 和命名空间)交互,并在这些命名空间内产生大量新进程。简而言之,运行容器实际上是在 Linux 系统内部 运行 Linux 系统。从操作系统的角度来看,这看起来很像管理和特权活动。普通用户通常无法像容器要求的那样自由支配系统资源,因此默认情况下,需要 root 或 sudo 权限才能运行 Podman。但是,这只是默认设置,绝不是唯一可用的或预期的设置。本文演示了如何配置 Linux 系统,以便普通用户可以在不使用 sudo(“无 root”)的情况下运行 Podman。
命名空间用户 ID
内核命名空间 本质上是一个虚构的结构,可以帮助 Linux 跟踪哪些进程属于一起。它就像 Linux 的红色队列绳索。一个队列和另一个队列中的进程实际上没有区别,但将它们彼此隔离是有帮助的。保持它们分离是声明一组进程为“容器”而另一组进程为您的操作系统的关键。
Linux 通过用户 ID (UID) 和组 ID (GID) 跟踪哪个用户或组拥有每个进程。通常,用户可以访问大约一千个从属 UID,以分配给命名空间中的子进程。由于 Podman 运行分配给启动容器用户的整个从属操作系统,因此您需要的 subuid 和 subgid 数量远远超过默认分配量。
您可以使用 usermod 命令授予用户更多 subuid 和 subgid。例如,要向用户 tux 授予更多 subuid 和 subgid,请选择一个合适的、未分配用户的 UID(例如 200,000),并将其递增几千
$ sudo usermod \
--add-subuids 200000-265536 \
--add-subgids 200000-265536 \
tux命名空间访问
命名空间也有限制。这通常设置得很高,但您可以使用内核参数工具 systctl 验证用户的命名空间分配
$ sysctl --all --pattern user_namespaces
user.max_user_namespaces = 28633这已经足够多的命名空间了,这可能也是您的发行版默认设置的。如果您的发行版没有该属性或设置得很低,则可以通过将此文本输入到文件 /etc/sysctl.d/userns.conf 中来创建它
user.max_user_namespaces=28633加载该设置
$ sudo sysctl -p /etc/sysctl.d/userns.conf在没有 root 权限的情况下运行容器
完成配置设置后,重新启动计算机以确保加载并激活对用户和内核参数的更改。
重新启动后,尝试运行容器镜像
$ podman run -it busybox echo "hello"
hello容器就像命令
如果您是容器新手,可能会觉得容器很神秘,但实际上,它们与您现有的 Linux 系统没有什么不同。它们实际上是在您的系统上运行的进程,而没有模拟环境或虚拟机的成本或障碍。将容器与您的操作系统分隔开来的只是内核命名空间,因此它们实际上只是带有不同标签的本机进程。Podman 比以往任何时候都更清楚地表明了这一点,一旦您将 Podman 配置为无 root 命令,容器感觉更像是命令而不是虚拟环境。Podman 使容器和 Pod 变得容易,所以请尝试一下。
评论已关闭。