Postur yang betul untuk menjalankan bekas Podman: Gunakan arahan Sudo untuk mengurus bekas di bawah sistem Linux

Di bawah sistem Linux, Podman ialah enjin kontena ringan yang popular, tetapi anda perlu memberi perhatian kepada beberapa butiran semasa mengendalikan bekas. Salah satu isu penting ialah cara menggunakan arahan sudo dengan betul untuk mengurus bekas untuk memastikan keselamatan dan kebolehpercayaan. Artikel ini menerangkan cara menggunakan arahan sudo untuk mengurus bekas Podman dengan betul.

Bekas adalah bahagian penting dalam pengkomputeran moden, dan apabila infrastruktur di sekeliling bekas berkembang, alat baharu dan lebih baik mula muncul. Pada masa lalu, anda hanya boleh menggunakan LXC untuk menjalankan kontena, tetapi apabila Docker semakin popular, ia mula menjadi lebih dan lebih rumit. Akhir sekali, dalam Podman kami mendapat apa yang kami harapkan daripada sistem pengurusan kontena: enjin kontena tanpa daemon yang menjadikan bekas dan pod mudah dibina, dijalankan dan diurus.

Bekas berinteraksi secara langsung dengan keupayaan kernel Linux seperti kumpulan kawalan dan ruang nama, dan ia menghasilkan sejumlah besar proses baharu dalam ruang nama ini. Pendek kata, menjalankan bekas sebenarnya menjalankan sistem Linux di dalam sistem Linux. Dari perspektif sistem pengendalian, ia kelihatan seperti aktiviti pentadbiran dan istimewa. Pengguna biasa biasanya tidak mempunyai kawalan percuma yang sama ke atas sumber sistem seperti bekas, jadi secara lalai, menjalankan Podman memerlukan keistimewaan root atau sudo. Walau bagaimanapun, ini hanyalah tetapan lalai, dan ia bukan satu-satunya tetapan yang tersedia. Artikel ini menunjukkan cara untuk mengkonfigurasi sistem Linux anda supaya pengguna biasa boleh menjalankan Podman tanpa sudo ("tanpa akar").

ID pengguna ruang nama

Ruang nama kernel pada asasnya ialah struktur rekaan yang membantu Linux menjejaki proses mana yang tergolong dalam kelas yang sama. Ini ialah "pengadang baris gilir" di Linux. Sebenarnya tiada perbezaan antara proses dalam satu baris gilir dan proses dalam baris gilir yang lain, tetapi mereka boleh "diikat" dari satu sama lain. Untuk mengisytiharkan satu set proses sebagai "bekas" dan satu set proses lain sebagai sistem pengendalian anda, memastikan ia berasingan adalah penting.

Linux menggunakan ID pengguna (UID) dan ID kumpulan (GID) untuk menjejak pengguna atau kumpulan yang memiliki proses. Biasanya, pengguna mempunyai akses kepada seribu atau lebih UID hamba yang diberikan kepada proses anak dalam ruang nama. Memandangkan Podman menjalankan keseluruhan sistem pengendalian hamba yang diperuntukkan kepada pengguna yang melancarkan bekas, anda memerlukan lebih daripada UID hamba yang ditetapkan lalai dan GID hamba.

Anda boleh memberikan pengguna lebih banyak UID bawahan dan GID bawahan menggunakan arahan usermod. Contohnya, untuk memberikan pengguna tux lebih banyak UID bawahan dan GID bawahan, pilih UID tinggi yang sesuai (seperti 200000) untuk pengguna yang belum ditugaskan kepadanya, kemudian tingkatkannya beberapa ribu:

$ sudo usermod \
--add-subuids 200000-265536 \
--add-subgids 200000-265536 \
tux

Akses ruang nama

Terdapat juga had pada bilangan ruang nama. Ini biasanya ditetapkan sangat tinggi. Anda boleh menggunakan systctl, alat parameter kernel, untuk mengesahkan peruntukan ruang nama pengguna:

$ sysctl --all --pattern user_namespaces
user.max_user_namespaces = 28633

Ini adalah banyak ruang nama dan mungkin menjadi lalai untuk pengedaran anda. Jika pengedaran anda tidak mempunyai sifat ini atau ditetapkan sangat rendah, maka anda boleh menciptanya dengan memasukkan teks seperti ini dalam fail /etc/sysctl.d/userns.conf:

user.max_user_namespaces=28633

Muat tetapan ini:

$ sudo sysctl -p /etc/sysctl.d/userns.conf

Jalankan bekas tanpa keistimewaan akar

Apabila anda telah menyediakan konfigurasi anda, mulakan semula komputer anda untuk memastikan perubahan parameter pengguna dan kernel anda dimuatkan dan diaktifkan.

Selepas dimulakan semula, cuba jalankan imej bekas:

$ podman run -it busybox echo "hello"
hello

Bekas adalah seperti arahan

Artikel ini memperincikan postur yang betul untuk menggunakan sudo untuk mengekalkan bekas Podman di bawah sistem Linux, termasuk konfigurasi fail sudoers, konfigurasi keselamatan dan bekas permulaan. Dengan mengkonfigurasi dan menggunakan sudo dengan betul, kami boleh melindungi keselamatan dan kebolehpercayaan kontena dengan lebih baik serta memenuhi keperluan perniagaan dengan lebih baik. Perlu diingatkan bahawa dalam operasi sebenar, maklumat sensitif mesti dikendalikan dengan berhati-hati untuk memastikan bahawa kerugian yang tidak perlu tidak disebabkan. Saya harap artikel ini dapat membantu anda menguasai kemahiran menggunakan arahan sudo untuk mengurus bekas Podman dengan lebih baik.

Atas ialah kandungan terperinci Postur yang betul untuk menjalankan bekas Podman: Gunakan arahan Sudo untuk mengurus bekas di bawah sistem Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!