さようならDocker! Podman、Skopeo、Buildah を使用した次世代コンテナ アーキテクチャ

さようならDocker! Podman、Skopeo、Buildah を使用した次世代コンテナ アーキテクチャ

 

起源:

コンピュータを再起動すると、Docker デーモンが複数のコアで CPU 使用率を 100% 占有してしまい、すべてのコンテナを起動できず、サービスが使用できないという状況に遭遇したことがある人も多いでしょう。悲しいことに、私にも同じことが起こりました。前回の記事では、Docker を使用して WP ブログを再構築するための新しいアーキテクチャを紹介しました。 VPS マシンはあまり安定しておらず、頻繁に再起動するため、この問題は再起動中に発生します。 VPS の負荷が非常に高く、コンテナが起動せず、Web サイトにアクセスできません。現時点では、回復する唯一の方法は、すべてのコンテナを強制終了し、デーモン プロセスを再起動することです。問題の原因が Docker デーモンにあり、Docker デーモンが root 権限で起動されていることを理解した後、これはセキュリティ上の問題です。それで解決策は何でしょうか?

Docker にデーモンが必要なのはなぜですか?

ポッドマン、スコペオ、ビルド

これら 3 つのツールはすべて OCI プラン (github/containers) に準拠したツールです。これは主に RedHat によって推進されています。これらは連携して Docker のすべての機能を完了することができ、デーモンやルート権限を持つグループへのアクセスは必要ありません。より安全で信頼性が高く、次世代のコンテナ ツールです。

ポッドマン

Podman は、Docker のサブコマンドのほとんど (RUN、PUSH、PULL など) を置き換えることができます。 Podman はデーモン プロセスを必要としませんが、コンテナーのシステム セキュリティを確保するために、ルート権限でソケットに接続せずに、ユーザー名前空間を使用してコンテナー内のルートをシミュレートします。

Podman は、プルやタグ付けなど、OCI イメージを維持および変更するためのすべてのコマンドと機能に重点を置いています。また、これらのイメージから作成されたコンテナを作成、実行、および保守することもできます。

ビルダ

Buildah は OCI イメージを構築するために使用されます。 Podman はユーザー向けの Docker イメージをビルドすることもできますが、ビルド速度が非常に遅く、vfs ストレージ ドライバーをデフォルトで使用すると大量のディスク領域が消費されます。 buildah bud (Dockerfile を使用して構築) は非常に高速で、オーバーレイ ストレージ ドライバーを使用します。


Buildah は OCI イメージの構築に重点を置いています。 Buildah のコマンドは、Dockerfile 内のすべてのコマンドを複製します。イメージは Dockerfiles を使用して構築でき、ルート権限は必要ありません。 Buildah の最終的な目標は、イメージを構築するための低レベルの coreutils インターフェースを提供することです。 Buildah は Dockerfiles 以外のビルド イメージもサポートしており、他のスクリプト言語をビルド プロセスに統合できます。 Buildah はシンプルな fork-exec モデルに従い、デーモンとしては実行されませんが、golang の包括的な API に基づいており、他のツールに保存できます。

スコピオ

Skopeo は、イメージをプッシュ、プル、コピーすることで Docker および OC イメージを操作できるツールです。

[[274424]]

ポッドマン vs ビルダ

Buildah はコンテナを構築し、Podman はコンテナを実行し、Skopeo はコンテナイメージを転送します。これらは、Github Containers 組織 (github/containers) によって管理されているオープンソース ツールです。これらのツールはいずれも実行にデーモンを必要とせず、またそのほとんどはルート アクセスも必要ありません。

Podman と Buildah の大きな違いの 1 つは、コンテナの概念です。 Podman を使用すると、ユーザーは「従来のコンテナ」を作成できます。ただし、Buildah コンテナーは実際には、コンテナー イメージにコンテンツを追加できるようにするために作成されます。簡単な方法は、buildah run コマンドで Dockerfile 内の RUN コマンドを模倣し、podman run コマンドで関数内の docker run コマンドを模倣することです。

つまり、Buildah は OCI イメージを作成するための効率的な方法であり、Podman を使用すると、使い慣れたコンテナ CLI コマンドを使用して、実稼働環境でこれらのイメージとコンテナを管理および保守できます。

コンテナ移行

インストール

基本的に、すべての主要なディストリビューションはバイナリ インストール パッケージを提供しており、システム パッケージ管理を使用してインストールできます。

  1. Fedora、CentOS: sudo yum -y install podman  
  2. Arch および Manjaro Linux: sudo pacman -S podman

Ubuntuのインストール:

  1. sudo apt-get update -qq
  2. sudo apt-get install -qq -y ソフトウェアプロパティ共通 uidmap
  3. sudo add -apt-repository -y ppa:projectatomic/ppa
  4. sudo apt-get update -qq
  5. sudo apt-get -qq -y podmanをインストールします

移行手順

まず、cron および CI ジョブ内のすべての docker インスタンスを podman に置き換えました。

最初のステップを完了したら、sysdig を使用して docker への参照をキャプチャし、docker を呼び出す他のものがあるかどうかを確認します。

  1. シスディグgrep -w docker

パフォーマンスを重視する場合、システムの速度が大幅に低下する可能性があります。

これでdockerを削除できます:

  1. sudo: yum 削除 docker

または

  1. apt を削除 -y docker-ce

設定ファイルをクリーンアップします。

/etc/apt/* または /etc/yum.repos.d/* 内の Docker を指すソースを削除します。

/etc/docker/*、/etc/default/docker、/var/lib/dockerに残っているファイルを削除します。

docker グループを削除します: delgroup docker

要約する

Podman、Skopeo、Buildah を使用した新世代のコンテナ アーキテクチャは、Docker デーモンによって発生する起動とセキュリティの問題を解決できます。新しいアーキテクチャを使用した後、「デーモンなし」と「sudo アクセスは不要」以外の違いはあまり感じられませんでした。ビルドされたコンテナは、グローバル ディレクトリ (/var/lib/docker) ではなく、ユーザー ディレクトリ (~/.local/containers) に配置されます。つまり、デーモン指向ではなく、ユーザー指向です。 Docker と比較すると、podman pull はすべてのレイヤーを並列にダウンロードします。

<<:  クラウドとオンプレミス: どちらのソフトウェア展開が優れていますか?

>>:  KVM仮想マシンがゲートウェイにアクセスできない問題のトラブルシューティング

推薦する

フロントエンドエンジニアのための SEO のヒント 5 つ

私はさまざまな役職の同僚と頻繁にコミュニケーションを取っていますが、彼らがトラフィック チャネルとし...

病院のBaidu入札体験の共有

まず、プロモーションを行うには、Baiduプロモーションの基礎知識を理解する必要があります。 1. ...

NECS-512m メモリ/60g メモリ/900g トラフィック/G ポート/月額 2.75 ポンド

NECS.CO.UK は、2005 年に英国で登録された会社です (VAT 番号 927207819...

感染症との戦いが始まって1か月が経ちましたが、企業のマーケティングはどこに向かっているのでしょうか?

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス今年は企業、特に中小企業...

クラウドネイティブのアプリケーションとデータは安全である必要がある

クラウドネイティブ アプリケーションの一部としてデータを管理するのは困難です。多くの企業にとって、新...

ウェブサイトの最適化でよく言及される外部リンクとは何ですか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています外部リンク...

Weibo はマーケティングによって消滅しました。マーケティングがなければソーシャル メディアはどうなるのでしょうか?

マーケティングがなければソーシャル メディアはどうなるでしょうか?ある日突然、クリックベイトの原則に...

DockerFileビルドプロセス分析

1. 概要Dockerfile は、Docker イメージを構築するために使用されるテキスト ファイ...

クラウドネイティブの「春」は来るのか?

IT 業界では、従来の IT アーキテクチャを「煙突」アーキテクチャと比較することがよくあります。こ...

共同購入の冬が到来: 国内の共同購入ウェブサイトはどのようにしてこのチャンスを突破できるのか?

現在の株価はIPO価格から60%以上下落し、時価総額はピーク時から26%以上下落しており、今のところ...

moack: 韓国のサーバー、40% オフ、CN2+LG ハイブリッド、Windows をサポート、Alipay が利用可能

moack 韓国データセンターには、2 つの特別な独立サーバー プロモーションがあり、永久に 40%...

bandwagonhost/bandwagonhost-年払い3.99ドル/超低価格VPS/小メモリ/SSDハードドライブ

bandwagonhost/Bandwagonhost は今回、超低価格の VPS を 3 つリリー...

オウルクラウド:弾力性のあるクラウドサーバー、20%オフ、月額8元から、香港cn2、米国cn2+200g高防御、フランス\カナダ\シンガポール480G高防御

Oulu Cloudは、自由にカスタマイズ可能な構成のエラスティッククラウドサーバーを主に運用してい...

中国の第三者決済市場のデジタル化の動向に関する考察

今日では、第三者による支払いは人々の消費の主な方法の 1 つです。この記事では、サードパーティ決済業...

ブランド マーケティング戦略: 「いちゃつく文化」はどのようにして人々の心をつかみ、トラフィックを引き付けるのでしょうか?

「金言王」として知られる日本のドラマ「カルテット」の中で、「大人は色気に頼るしかない」というセリフは...