Podman ist eine Alternative zu Docker, die ohne Daemon läuft und Container ohne Root-Zugriff aufsetzen kann. Auch mit dem aktuellen Podman 5.0 ist die Kompatibilität mit Docker nicht vollends gegeben.
Bessere Unterstützung für Mac und Windows
Podman 5.0 bringt bessere Unterstützung für Mac und Windows mit einem kompletten Rewrite des Codes für diese Plattformen und erheblichen Verbesserungen bei der Hypervisor-Unterstützung auf beiden Plattformen. Dazu wurden die Kommandos für die podman machine völlig neu geschrieben. Podman-Machines werden verwendet, um eine virtuelle Linux-Maschine (VM) zu starten, sodass Windows- und Mac-Systeme Linux-Container ausführen können. Die Überarbeitung ermöglicht auch mehr gemeinsame Nutzung von Code durch verschiedene VM-Anbieter, was künftige Wartung und Korrekturen erleichtert. Der Rewrite macht es erforderlich, bestehende VMs auf das neue Backend zu migrieren.
Weitere Änderungen
Podman 5 enthält auch eine Reihe von Entfernungen, Änderungen an Standardeinstellungen und weitere Verbesserungen. Pasta ist seit Podman 4.4 an Bord und wird nun das standardmäßige Rootless Netzwerk-Backend. Das BoltDB-Datenbank-Backend gilt mit 5.0 veraltet und die Unterstützung für die Erstellung neuer Bolt-Datenbanken wurde entfernt. Bestehende Datenbanken können auch weiterhin ohne Probleme verwendet werden. An seine Stelle trat mit Podman 4.9 SQLite als Standarddatenbank für neue Installationen.
Der hauseigene Netzwerk-Stack Netavark löst CNI Networking auf den meisten Plattformen ab. Weitere Informationen sind der Ankündigung im Podman-Blog zu entnehmen. Aktuell gilt es eine Sicherheitslücke zu beachten, die zumindest in Fedora mit v5.0.0-1.fc40 bereits behoben ist.
Ich mag Podman und würden auch gerne einige Apps die in VMs laufen darauf migrieren. Allerdings ist mir bei meinen Tests aufgefallen, dass die Netzwerk-Performance nicht ganz so gut ist. Wenn ich die Ressourcen für einen Container nicht limitiere, ist die Performance besser als eine VM mit 2 Kernen. Limitiere ich allerdings die Kerne auch für den Container, schneidet die VM besser ab. Getestet hatte ich mit Nginx, für das Containernetzwerk verwende ich Macvlan.
Ich vermute, dass der ganze Netzwerkverkehr in den Container über die CPU läuft. Bei KVM mit einem Linux Gastsystem läuft der Verkehr nicht über die CPU, sondern mittels VirtIO direkt über die Netzwerkkarte.
Hier würde ich mir noch bessere Alternativen für die Container wünschen. Man kann manuell Interface erstellen und zuweisen, wie hier und hier beschrieben, aber finde das nicht so alltagstauglich. Habe dafür auch ein Script erstellt, aber produktiv einsetzten tue ich das noch nicht.
Übrigens: Rootless heißt nicht automatisch sicherer. Für den Produktivbetrieb gibt es noch die Option:
--userns=auto, oder man mappet User/Group mit--uidmap=... --gidmap=....Habe ich etwas falsch verstanden, aber ist Docker nicht eine Container-Lösung? Bei einem Hypervisor (nach meinem Verständnis) steht das gesamte OS eigenständig zur Verfügung, es wird über Software (z.B. qemu) oder Hardware (z.B. kvm) komplett dem Gast zur Verfügung gestellt.
Host und Gast beim Hypervisor können nahezubeliebig sein, bei Containern ist dies nach meinem Verständnis nicht der Fall. Oder habe ich da etwas “verschlafen”? Ist Docker bzw. Podman doch ein Hypervisor? Wenn ich auf der Homepage von Podman nachsehe, ist dort allerdings “nur” von Containern die Rede. Bitte um Klärung bzw. Präzisierung…
Du hast das schon richtig verstanden. Um Podman jedoch auf Windows und macOS betreiben zu können, braucht es einen Hypervisor. Diesen kannst du mittels
podman machine ...steuern.