Una herramienta nativa para Linux que se ejecuta sin ser un servicio, es open source y está diseñada para ser fácil de utilizar. Se pueden ejecutar, construir, compartir y desplegar aplicaciones utilizando la definición “Open Containers Initiative (OCI)” e imágenes de contenedor. Los contenedores se pueden ejecutar siendo root o usuario sin privilegios sin hacer uso de ningún servicio que gestione prácticamente nada, que es lo contrario a Docker que es un servicio/cliente. Se pueden configurar los contenedores con systemd para que éstos inicien en caso de reinicio del sistema, por lo que es muy bueno.
¿Qué es la OCI?
La Open Containers Initiative es un pequeño gobierno establecido en 2015 por Docker y otros líderes en la industria de los contenedores que tienen como objetivo implementar estándares abiertos en la industria que gira en torno a los contenedores con el fin de evitar que múltiples empresas generen sus propios formas de crear y desplegar contenedores volviendo a un escenario de los 90 como pasó con las redes, que si un edificio tenía el producto de una empresa A, no era compatible con los dispositivos de la empresa B.
Actualmente hay dos tipos de especificaciones:
La especificación de tiempo de ejecución (runtime-spec) y la especificación de la imagen (image-spec). La primera trata de ver cómo se desempaqueta la imagen y se ejecuta, y en la segunda es cómo y dónde se descarga o se almacena la imagen que contiene ese sistema de archivos y que se ejecutará convirtiéndose en un contenedor. Las imágenes contienen tags para definir las versiones, por ejemplo, rockylinux:latest o rockylinux a secas se refiere a latest. Sin embargo, el proyecto puede tener versiones, por ejemplo:
- rockylinux:8.5
- rockylinux:7.9
- rockylinux:alpha-stage
- […]
¿Cómo se puede usar?
Se puede utilizar desde usuario rooto desde un usuario sin privilegios siempre y cuando tenga el subid y subgid definidos.
Comandos de creación
Crear un contenedor con bash basado en una imagen de Rocky Linux
podman run -ti rockylinux:latest /bin/bash
Crear un contenedor con bash basado en una imagen cuya tag es la 8.5
podman run -ti rockylinux:8.5 /bin/bash
Crear un contenedor con nombre único
podman run -ti --name micontenedor rockylinux:latest /bin/bash
NOTA: Si no eliminas el contenedor, no podrás lanzar más contenedores con este nombre.
Crear una red
podman create network nombre_red
Crear un volumen
podman create volume nombre_volumen
Crear un contenedor con una red creada
podman run -ti --network hola_mundo rockylinux /bin/bash
Crear un contenedor con un volumen creado o crearlo “al vuelo”
NOTA: Es un volumen persistente, no se elimina después de finalizar el contenedor
podman run -ti --volume nuevo_volumen:/tmp/my_vol rockylinux /bin/bash
Crear un contenedor y utilizar un archivo como volumen persistente
podman run -ti --volume /home/sincorchetes/hello_world.txt:/tmp/hello_world.txt rockylinux /bin/bash
Crear un contenedor y utilizar un directorio como volumen persistente
podman run -ti --volume /home/sincorchetes/hello_world:/tmp/hello_world rockylinux /bin/bash
Crear un contenedor que se ejecute en segundo plano
NOTA: Este contenedor no tiene acceso al exterior, si haces un
curl 127.0.0.1:80no dará respuesta, además estará mal si lo ejecutas como usuario sin privilegios, ya que el kernel por seguridad no permite exponer programas con puertos inferiores a 1024.
podman run -d nginx
Crear un contenedor que se ejecute en segundo plano y con mapeo de puertos
podman run -d -p 8080:80 nginx
Si haces un curl 127.0.0.1:8080 obtendrás la página de bienvenida de NGINX
Genera una plantilla servicio para que se ejecute en systemd
podman generate systemd nombre_contenedor|id_imagen
NOTA: Nos genera un
.serviceen la salida de la terminal que podemos añadir como servicio del sistema o de usuario. Hay que añadirlo no se configura solo.
Ejemplo:
podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
a138796be81d docker.io/library/nginx:latest nginx -g daemon o... 21 minutes ago Up 21 minutes ago inspiring_hertz
podman generate systemd inspiring_hertz
# container-a138796be81d92ae13c7390fe65f3544558ec4640ed20446ac6595e24446dc27.service
# autogenerated by Podman 3.4.4
# Thu Jan 20 17:40:51 WET 2022
[Unit]
Description=Podman container-a138796be81d92ae13c7390fe65f3544558ec4640ed20446ac6595e24446dc27.service
Documentation=man:podman-generate-systemd(1)
Wants=network-online.target
After=network-online.target
RequiresMountsFor=/run/user/1000/containers
[Service]
Environment=PODMAN_SYSTEMD_UNIT=%n
Restart=on-failure
TimeoutStopSec=70
ExecStart=/usr/bin/podman start a138796be81d92ae13c7390fe65f3544558ec4640ed20446ac6595e24446dc27
ExecStop=/usr/bin/podman stop -t 10 a138796be81d92ae13c7390fe65f3544558ec4640ed20446ac6595e24446dc27
ExecStopPost=/usr/bin/podman stop -t 10 a138796be81d92ae13c7390fe65f3544558ec4640ed20446ac6595e24446dc27
PIDFile=/run/user/1000/containers/overlay-containers/a138796be81d92ae13c7390fe65f3544558ec4640ed20446ac6595e24446dc27/userdata/conmon.pid
Type=forking
[Install]
WantedBy=default.target
Si queremos guardarlo, redirigimos la salida
podman generate systemd inspiring_hertz > nginx.service
Generando una plantilla para Kubernetes
podman generate kube
Ejemplo:
podman generate kube inspiring_hertz
# Save the output of this file and use kubectl create -f to import
# it into Kubernetes.
#
# Created with podman-3.4.4
apiVersion: v1
kind: Pod
metadata:
creationTimestamp: "2022-01-20T17:43:58Z"
labels:
app: inspiringhertz
name: inspiringhertz
spec:
containers:
- args:
- nginx
- -g
- daemon off;
image: docker.io/library/nginx:latest
name: inspiringhertz
securityContext:
capabilities:
drop:
- CAP_MKNOD
- CAP_NET_RAW
- CAP_AUDIT_WRITE
Si queremos guardarlo, redirigimos la salida
podman generate kube inspiring_hertz > nginx.yaml
Y para ejecutarlo en nuestro cluster (necesitaremos tener kubectl configurado)
kubectl apply -f nginx.yaml
Comandos de construcción
Modificar una imagen
podman run -ti rockylinux /bin/bash
# dnf install -y tmux
[...]
Installed:
libevent-2.1.8-5.el8.x86_64 tmux-2.7-1.el8.x86_64
Complete!
En otra terminal, recuperamos el contenedor
podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
d56ed882cbc1 docker.io/library/rockylinux:latest /bin/bash 59 seconds ago Up About a minute ago funny_stonebraker
Hacemos un commit y lo guardamos con otro nombre
podman commit d56ed882cbc1 rockylinux_custom
Getting image source signatures
Copying blob 65dbea0a4b39 skipped: already exists
Copying blob 741ec203d982 done
Copying config 515a64e7ed done
Writing manifest to image destination
Storing signatures
515a64e7ed4cbb778b043820de1ee9054c62a83c3e0462f21b188263374ba522
Ejecutando la nueva imagen
podman run -ti rockylinux_custom tmux
Ó
podman run -ti rockylinux_custom /usr/bin/tmux
Construir una imagen partiendo de un Containerfile
Podemos hacer lo anterior, pero en vez de usar ese método, utilizar un Containerfile que nos da más libertad y facilidad, también te valen los Dockerfile, recordemos (OCI compliant)
Crearmos un archivo Containerfile
mkdir imagen
touch imagen/Containerfile
Editamos imagen/Containerfile
FROM rockylinux:latest
RUN dnf install -y tmux
CMD ["/usr/bin/tmux"]
Construimos la imagen:
podman build -t rockylinux_custom image
Arrancamos la imagen
podman run -ti rockylinux_custom
Se nos abrirá con tmux directamente.
Comandos para listar
Listar imágenes
podman image ls
Listar redes
podman network ls
Listar volúmenes
podman volume ls
Listar todos los ID de las imágenes
podman image ls | awk 'NR>1 { print $3 }'
Listar todos los ID de los contenedores que se están ejecutando
podman ps | awk 'NR>1 { print $3 }'
Listar todos los ID de los contenedores que se están o hayan sido ejecutados
podman ps -a| awk 'NR>1 { print $3 }'
Listar solo el nombre de los volúmenes
podman volume ls | awk 'NR>1 { print $2 }'
Listar solo el ID de las redes y su nombre
podman network ls | awk 'NR>1 { print $2 }'
Comandos de búsqueda
Buscar en todos los registries
podman search rockylinux
Buscar en un solo registry
podman search docker.io/rockylinux
Comandos para eliminar
Eliminar contenedor en ejecución
podman rm -f ID_contenedor
Eliminar volumen
NOTA: No debe haber ningún contenedor que esté explotando el volumen
podman volume rm nombre_volumen
Eliminar una imagen
podman image rm nombre_imagen
Eliminar una imagen (forma corta)
podman rmi nombre_imagen
Eliminar una red
podman network rm nombre_red
Eliminar imágenes que no se están utilizando
podman image prune
Eliminar todos los contenedores incluyendo los que ya han finalizado
podman rm -f $(podman ps -a | awk 'NR>1 { print $1 }')
Exportación/Importación
Exportar el FS de un contenedor en ejecución
podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
c5d483dc9b77 docker.io/library/nginx:latest nginx -g daemon o... About a minute ago Up About a minute ago intelligent_archimedes
podman export c5d483dc9b77 > myfs.tar
Tendremos todo el contenido del contenedor exportado.
Importar un contenedor
podman import myfs.tar
Getting image source signatures
Copying blob 0f3fecb21929 done
Copying config d485510f4c done
Writing manifest to image destination
Storing signatures
sha256:d485510f4c1ba2ba61bbd2bcdd2e632f404be7ae90b81370fda41dd16b9d3936
podman image ls
[...]
REPOSITORY TAG IMAGE ID CREATED SIZE
<none> <none> d485510f4c1b 43 seconds ago 144 MB
¡Perfecto!
Comandos de ejecución
Si tenemos contenedores ejecutándose podemos acceder desde otra consola aunque el contenedor lo tengamos abierto en primer/segundo plano.
Obtenemos el contenedor al que queremos acceder
podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
a138796be81d docker.io/library/nginx:latest nginx -g daemon o... 3 seconds ago Up 3 seconds ago inspiring_hertz
Accedemos a él
podman exec -ti a138796be81d /bin/sh
# cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"
NAME="Debian GNU/Linux"
VERSION_ID="11"
VERSION="11 (bullseye)"
VERSION_CODENAME=bullseye
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
También podemos acceder a él por el nombre
podman exec -ti inspiring_hertz /bin/sh
Troubleshooting
No puedo crear un contenedor con puertos inferiores al 1024 cuando lo trato de exponer, obtengo este mensaje:
podman run -d -p 80:8080 nginx
Error: rootlessport cannot expose privileged port 80, you can add 'net.ipv4.ip_unprivileged_port_start=80' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024): listen tcp 0.0.0.0:80: bind: permission denied
Esto es debido a seguridad del kernel, solo root puede hacerlo, se puede remediar haciendo caso al mensaje, pero es mejor desplegar un reverse-proxy que atienda a los puertos no privilegiados.
Trato de eliminar una imagen y obtengo este resultado, sin embargo, no tengo ningún contenedor que la use:
podman image rm rockylinux
Error: Image used by 260f1173937ca4c82b345f54c3723908d6c4165936870914922a62e42076da00: image is in use by a container
Para solucionarlo:
podman ps -a
[...]
260f1173937c docker.io/library/rockylinux/rockylinux:latest bash 2 days ago Exited (0) 2 days ago
[...]
podman rm -f 260f1173937c
podman image rm rockylinux
Untagged: docker.io/library/rockylinux:latest
Deleted: 300e315adb2f96afe5f0b2780b87f28ae95231fe3bdd1e16b9ba606307728f55
O también
podman image rm -f rockylinux
NOTA: Esto eliminará también el contenedor que use la imagen.
Otra forma de eliminar una imagen
podman rmi rockylinux
podman rmi -f rockylinux
Trato de eliminar una red y obtengo este resultado, pero no hay ningún contenedor ejecutándose:
podman network rm hola
Error: "hola" has associated containers with it. Use -f to forcibly delete containers and pods: network is being used
Lo mismo sucede aquí, hay que forzar la eliminación y eso implica eliminar el contenedor que finalizó la ejecución.
podman network rm -f hola
hola
No puedo montar los archivos o directorios como volúmenes persistentes, pero forman parte de mi usuario
NOTA: Esto se debe a la protección de SELinux,
Zle dice a podman que usas SELinux en el sistema
podman run -ti --volume /home/sincorchetes/Downloads:/tmp/Downloads:Z rockylinux /bin/bash
podman run -d --volume /home/sincorchetes/Downloads:/tmp/Downloads:Z nginx
No puedo acceder a un contenedor en ejecución con exec
podman exec -ti a138796be81d /bin/ksh
Error: executable file `/bin/ksh` not found in $PATH: No such file or directory: OCI runtime attempted to invoke a command that was not found
Esto se debe porque no soporta esa shell o ese comando, si sabes la ruta
podman exec -ti a138796be81d cat /etc/shells
# /etc/shells: valid login shells
/bin/sh
/bin/bash
/bin/rbash
/bin/dash
podman exec -ti a138796be81d /bin/dash
# echo $0
dash
Si buscas un archivo, pues un ls
podman exec -ti a138796be81d ls /etc
adduser.conf deluser.conf host.conf localtime pam.conf rc6.d subuid
alternatives dpkg hostname login.defs pam.d rcS.d systemd
apt e2scrub.conf hosts logrotate.d passwd resolv.conf terminfo
bash.bashrc environment init.d machine-id passwd- rmt timezone
bindresvport.blacklist fonts inputrc mke2fs.conf profile security ucf.conf
ca-certificates fstab issue motd profile.d selinux update-motd.d
ca-certificates.conf gai.conf issue.net mtab rc0.d shadow xattr.conf
cron.d group kernel netconfig rc1.d shadow-
cron.daily group- ld.so.cache nginx rc2.d shells
debconf.conf gshadow ld.so.conf nsswitch.conf rc3.d skel
debian_version gshadow- ld.so.conf.d opt rc4.d ssl
default gss libaudit.conf os-release rc5.d subgid