起源: コンピュータを再起動すると、Docker デーモンが複数のコアで CPU 使用率を 100% 占有してしまい、すべてのコンテナを起動できず、サービスが使用できないという状況に遭遇したことがある人も多いでしょう。悲しいことに、私にも同じことが起こりました。前回の記事では、Docker を使用して WP ブログを再構築するための新しいアーキテクチャを紹介しました。 VPS マシンはあまり安定しておらず、頻繁に再起動するため、この問題は再起動中に発生します。 VPS の負荷が非常に高く、コンテナが起動せず、Web サイトにアクセスできません。現時点では、回復する唯一の方法は、すべてのコンテナを強制終了し、デーモン プロセスを再起動することです。問題の原因が Docker デーモンにあり、Docker デーモンが root 権限で起動されていることを理解した後、これはセキュリティ上の問題です。それで解決策は何でしょうか? Docker にデーモンが必要なのはなぜですか? ポッドマン、スコペオ、ビルド これら 3 つのツールはすべて OCI プラン (github/containers) に準拠したツールです。これは主に RedHat によって推進されています。これらは連携して Docker のすべての機能を完了することができ、デーモンやルート権限を持つグループへのアクセスは必要ありません。より安全で信頼性が高く、次世代のコンテナ ツールです。 ポッドマン Podman は、Docker のサブコマンドのほとんど (RUN、PUSH、PULL など) を置き換えることができます。 Podman はデーモン プロセスを必要としませんが、コンテナーのシステム セキュリティを確保するために、ルート権限でソケットに接続せずに、ユーザー名前空間を使用してコンテナー内のルートをシミュレートします。 Podman は、プルやタグ付けなど、OCI イメージを維持および変更するためのすべてのコマンドと機能に重点を置いています。また、これらのイメージから作成されたコンテナを作成、実行、および保守することもできます。 ビルダ Buildah は OCI イメージを構築するために使用されます。 Podman はユーザー向けの Docker イメージをビルドすることもできますが、ビルド速度が非常に遅く、vfs ストレージ ドライバーをデフォルトで使用すると大量のディスク領域が消費されます。 buildah bud (Dockerfile を使用して構築) は非常に高速で、オーバーレイ ストレージ ドライバーを使用します。 Buildah は OCI イメージの構築に重点を置いています。 Buildah のコマンドは、Dockerfile 内のすべてのコマンドを複製します。イメージは Dockerfiles を使用して構築でき、ルート権限は必要ありません。 Buildah の最終的な目標は、イメージを構築するための低レベルの coreutils インターフェースを提供することです。 Buildah は Dockerfiles 以外のビルド イメージもサポートしており、他のスクリプト言語をビルド プロセスに統合できます。 Buildah はシンプルな fork-exec モデルに従い、デーモンとしては実行されませんが、golang の包括的な API に基づいており、他のツールに保存できます。 スコピオ Skopeo は、イメージをプッシュ、プル、コピーすることで Docker および OC イメージを操作できるツールです。 ポッドマン vs ビルダ Buildah はコンテナを構築し、Podman はコンテナを実行し、Skopeo はコンテナイメージを転送します。これらは、Github Containers 組織 (github/containers) によって管理されているオープンソース ツールです。これらのツールはいずれも実行にデーモンを必要とせず、またそのほとんどはルート アクセスも必要ありません。 Podman と Buildah の大きな違いの 1 つは、コンテナの概念です。 Podman を使用すると、ユーザーは「従来のコンテナ」を作成できます。ただし、Buildah コンテナーは実際には、コンテナー イメージにコンテンツを追加できるようにするために作成されます。簡単な方法は、buildah run コマンドで Dockerfile 内の RUN コマンドを模倣し、podman run コマンドで関数内の docker run コマンドを模倣することです。 つまり、Buildah は OCI イメージを作成するための効率的な方法であり、Podman を使用すると、使い慣れたコンテナ CLI コマンドを使用して、実稼働環境でこれらのイメージとコンテナを管理および保守できます。 コンテナ移行 インストール 基本的に、すべての主要なディストリビューションはバイナリ インストール パッケージを提供しており、システム パッケージ管理を使用してインストールできます。
Ubuntuのインストール:
移行手順 まず、cron および CI ジョブ内のすべての docker インスタンスを podman に置き換えました。 最初のステップを完了したら、sysdig を使用して docker への参照をキャプチャし、docker を呼び出す他のものがあるかどうかを確認します。
パフォーマンスを重視する場合、システムの速度が大幅に低下する可能性があります。 これでdockerを削除できます:
または
設定ファイルをクリーンアップします。 /etc/apt/* または /etc/yum.repos.d/* 内の Docker を指すソースを削除します。 /etc/docker/*、/etc/default/docker、/var/lib/dockerに残っているファイルを削除します。 docker グループを削除します: delgroup docker 要約する Podman、Skopeo、Buildah を使用した新世代のコンテナ アーキテクチャは、Docker デーモンによって発生する起動とセキュリティの問題を解決できます。新しいアーキテクチャを使用した後、「デーモンなし」と「sudo アクセスは不要」以外の違いはあまり感じられませんでした。ビルドされたコンテナは、グローバル ディレクトリ (/var/lib/docker) ではなく、ユーザー ディレクトリ (~/.local/containers) に配置されます。つまり、デーモン指向ではなく、ユーザー指向です。 Docker と比較すると、podman pull はすべてのレイヤーを並列にダウンロードします。 |
<<: クラウドとオンプレミス: どちらのソフトウェア展開が優れていますか?
>>: KVM仮想マシンがゲートウェイにアクセスできない問題のトラブルシューティング
私はさまざまな役職の同僚と頻繁にコミュニケーションを取っていますが、彼らがトラフィック チャネルとし...
まず、プロモーションを行うには、Baiduプロモーションの基礎知識を理解する必要があります。 1. ...
NECS.CO.UK は、2005 年に英国で登録された会社です (VAT 番号 927207819...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス今年は企業、特に中小企業...
クラウドネイティブ アプリケーションの一部としてデータを管理するのは困難です。多くの企業にとって、新...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています外部リンク...
マーケティングがなければソーシャル メディアはどうなるでしょうか?ある日突然、クリックベイトの原則に...
1. 概要Dockerfile は、Docker イメージを構築するために使用されるテキスト ファイ...
IT 業界では、従来の IT アーキテクチャを「煙突」アーキテクチャと比較することがよくあります。こ...
現在の株価はIPO価格から60%以上下落し、時価総額はピーク時から26%以上下落しており、今のところ...
moack 韓国データセンターには、2 つの特別な独立サーバー プロモーションがあり、永久に 40%...
bandwagonhost/Bandwagonhost は今回、超低価格の VPS を 3 つリリー...
Oulu Cloudは、自由にカスタマイズ可能な構成のエラスティッククラウドサーバーを主に運用してい...
今日では、第三者による支払いは人々の消費の主な方法の 1 つです。この記事では、サードパーティ決済業...
「金言王」として知られる日本のドラマ「カルテット」の中で、「大人は色気に頼るしかない」というセリフは...