Korrekte Haltung zum Ausführen von Podman-Containern: Verwenden Sie Sudo-Befehle, um Container unter Linux-Systemen zu verwalten

Unter Linux-Systemen ist Podman eine beliebte, leichte Container-Engine, Sie müssen jedoch beim Betrieb von Containern auf einige Details achten. Eine der wichtigen Fragen ist die korrekte Verwendung des sudo-Befehls zur Verwaltung von Containern, um Sicherheit und Zuverlässigkeit zu gewährleisten. In diesem Artikel wird erläutert, wie Sie mit Sudo-Befehlen Podman-Container ordnungsgemäß verwalten.

Container sind ein wesentlicher Bestandteil des modernen Computings, und während sich die Infrastruktur rund um Container weiterentwickelt, tauchen neue und bessere Tools auf. In der Vergangenheit konnte man LXC einfach zum Ausführen von Containern verwenden, aber als Docker immer beliebter wurde, wurde es immer komplexer. Schließlich erhalten wir in Podman das, was wir von einem Container-Management-System erwartet haben: eine daemonlose Container-Engine, mit der sich Container und Pods einfach erstellen, ausführen und verwalten lassen.

Container interagieren direkt mit Linux-Kernelfunktionen wie Kontrollgruppen und Namespaces und erzeugen in diesen Namespaces eine große Anzahl neuer Prozesse. Kurz gesagt bedeutet das Ausführen eines Containers tatsächlich, dass ein Linux-System innerhalb eines Linux-Systems ausgeführt wird. Aus Sicht des Betriebssystems sieht es sehr nach einer administrativen und privilegierten Aktivität aus. Normale Benutzer haben normalerweise nicht die gleiche freie Kontrolle über Systemressourcen wie Container, daher sind für die Ausführung von Podman standardmäßig Root- oder Sudo-Rechte erforderlich. Dies ist jedoch nur die Standardeinstellung und keineswegs die einzige verfügbare Einstellung. Dieser Artikel zeigt, wie Sie Ihr Linux-System so konfigurieren, dass normale Benutzer Podman ohne sudo („rootless“) ausführen können.

Namespace-Benutzer-ID

Der Kernel-Namespace ist im Wesentlichen eine fiktive Struktur, die Linux hilft, den Überblick darüber zu behalten, welche Prozesse zur gleichen Klasse gehören. Dies ist die „Warteschlangenleitplanke“ unter Linux. Es gibt eigentlich keinen Unterschied zwischen Prozessen in einer Warteschlange und Prozessen in einer anderen Warteschlange, aber sie können voneinander „abgegrenzt“ werden. Um einen Satz von Prozessen als „Container“ und einen anderen Satz von Prozessen als Ihr Betriebssystem zu deklarieren, ist es wichtig, sie getrennt zu halten.

Linux verwendet Benutzer-ID (UID) und Gruppen-ID (GID), um zu verfolgen, welcher Benutzer oder welche Gruppe einen Prozess besitzt. Normalerweise hat ein Benutzer Zugriff auf etwa tausend Slave-UIDs, die untergeordneten Prozessen in einem Namespace zugewiesen sind. Da Podman das gesamte Slave-Betriebssystem ausführt, das dem Benutzer zugewiesen ist, der den Container gestartet hat, benötigen Sie mehr als die standardmäßig zugewiesene Slave-UID und Slave-GID.

Mit dem Befehl usermod können Sie einem Benutzer weitere untergeordnete UIDs und untergeordnete GIDs gewähren. Um beispielsweise dem Benutzer tux mehr untergeordnete UIDs und untergeordnete GIDs zu gewähren, wählen Sie eine entsprechend hohe UID (z. B. 200000) für Benutzer, die ihr noch nicht zugewiesen sind, und erhöhen Sie sie dann um einige Tausend:

$ sudo usermod \
--add-subuids 200000-265536 \
--add-subgids 200000-265536 \
tux

Namespace-Zugriff

Es gibt auch eine Begrenzung für die Anzahl der Namespaces. Dieser ist in der Regel sehr hoch angesetzt. Sie können systctl, das Kernel-Parameter-Tool, verwenden, um Benutzernamensraumzuordnungen zu überprüfen:

$ sysctl --all --pattern user_namespaces
user.max_user_namespaces = 28633

Dies ist ein umfangreicher Namespace und möglicherweise der Standard für Ihre Distribution. Wenn Ihre Distribution diese Eigenschaft nicht hat oder sehr niedrig eingestellt ist, können Sie sie erstellen, indem Sie in der Datei /etc/sysctl.d/userns.conf einen Text wie diesen eingeben:

user.max_user_namespaces=28633

Diese Einstellung laden:

$ sudo sysctl -p /etc/sysctl.d/userns.conf

Führen Sie einen Container ohne Root-Rechte aus

Wenn Sie Ihre Konfiguration eingerichtet haben, starten Sie Ihren Computer neu, um sicherzustellen, dass Ihre Benutzer- und Kernel-Parameteränderungen geladen und aktiviert werden.

Versuchen Sie nach dem Neustart, ein Container-Image auszuführen:

$ podman run -it busybox echo "hello"
hello

Container sind wie Befehle

Dieser Artikel beschreibt die korrekte Haltung für die Verwendung von sudo zur Verwaltung von Podman-Containern unter Linux-Systemen, einschließlich der Dateikonfiguration von sudoers, der Sicherheitskonfiguration und dem Starten von Containern. Durch die richtige Konfiguration und Verwendung von sudo können wir die Sicherheit und Zuverlässigkeit des Containers besser schützen und die Geschäftsanforderungen besser erfüllen. Es ist zu beachten, dass im tatsächlichen Betrieb mit vertraulichen Informationen vorsichtig umgegangen werden muss, um sicherzustellen, dass keine unnötigen Verluste entstehen. Ich hoffe, dieser Artikel kann Ihnen dabei helfen, die Fähigkeiten der Verwendung von Sudo-Befehlen zur Verwaltung von Podman-Containern besser zu beherrschen.

Das obige ist der detaillierte Inhalt vonKorrekte Haltung zum Ausführen von Podman-Containern: Verwenden Sie Sudo-Befehle, um Container unter Linux-Systemen zu verwalten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!