podman无根用户基本设置和使用
podman无根用户基本设置和使用
在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置
cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。
//安装crun,centos8系统自带 [root@localhost ~]# dnf -y install crun //编辑/usr/share/containers/containers.conf 文件 # Default OCI runtime # #runtime = "crun" //取消本行注释 runtime = "runc" //将此行注释 //创建一个容器,查看容器运行模式是否是crun [root@localhost ~]# podman run -itd --name web -p 80:80 httpd 3e555303388b0da61de062ed03749eb2c3ec9080047654c6a3f0aef4b4c4e937 [root@localhost ~]# podman container inspect web | grep -i crun "OCIRuntime": "crun", "crun",
安装slirp4netns和fuse-overlayfs
在普通用户环境中使用Podman时,建议使用fuse-overlayfs而不是VFS文件系统,至少需要版本0.7.6。现在新版本默认就是了。
[root@localhost ~]# dnf -y install slirp4netns [root@localhost ~]# dnf -y install fuse-overlayfs [root@localhost ~]# vim /etc/containers/storage.conf #mount_program = "/usr/bin/fuse-overlayfs" //取消此行注释
subuid和subgid配置
Podman要求运行它的用户在/ etc / subuid和/ etc / subgid文件中列出一系列UID,shadow-utils或newuid包提供这些文件
[root@localhost ~]# dnf -y install shadow-utils //可以在/ etc / subuid和/ etc / subgid查看,每个用户的值必须唯一且没有任何重叠。 [root@localhost ~]# useradd zic [root@localhost ~]# cat /etc/subuid zzd:100000:65536 zic:165536:65536 [root@localhost ~]# cat /etc/subgid zzd:100000:65536 zic:165536:65536 //启动非特权ping [root@localhost ~]# vim /etc/sysctl.conf //添加如下内容 net.ipv4.ping_group_range = 0 200000 (表示uid从开始到200000的用户可用)
这个文件的格式是 USERNAME:UID:RANGE中/etc/passwd或输出中列出的用户名getpwent。
- 为用户分配的初始 UID。
- 为用户分配的 UID 范围的大小。
该usermod程序可用于为用户分配 UID 和 GID,而不是直接更新文件。
[root@localhost ~]# useradd zzz //添加 [root@localhost ~]# usermod --add-subuids 300000-301000 --add-subgids 300000-301000 zic [root@localhost ~]# cat /etc/subuid zzd:100000:65536 zic:165536:65536 zzz:231072:65536 zic:300000:1001 //删除 [root@localhost ~]# usermod --del-subuids 300000-301000 --del-subgids 300000-301000 zic [root@localhost ~]# cat /etc/subuid zzd:100000:65536 zic:165536:65536 zzz:231072:65536
用户配置文件
三个主要的配置文件是container.conf、storage.conf和registries.conf。用户可以根据需要修改这些文件。
container.conf
// 用户配置文件 [root@localhost ~]# cat /usr/share/containers/containers.conf [root@localhost ~]# cat /etc/containers/containers.conf [root@localhost ~]# cat ~/.config/containers/containers.conf //优先级最高
配置storage.conf文件
1./etc/containers/storage.conf 2.$HOME/.config/containers/storage.conf
在普通用户中/etc/containers/storage.conf的一些字段将被忽略
[root@localhost ~]# vi /etc/containers/storage.conf [storage] # Default Storage Driver, Must be set for proper operation. driver = "overlay" //此处改为overlay ....... mount_program = "/usr/bin/fuse-overlayfs" //取消注释 //如果版本为8以下,则需要做以下操作: [root@localhost ~]# sysctl user.max_user_namespaces=15000 //或者 [root@localhost ~]# vim /etc/sysctl.conf user.max_user_namepaces=15000
在普通用户中这些字段默认
runroot = "/run/containers/storage" graphroot = "/var/lib/containers/storage"
registries.conf
配置按此顺序读入,这些文件不是默认创建的,可以从/usr/share/containers或复制文件/etc/containers并进行修改
1./etc/containers/registries.conf 2./etc/containers/registries.d/* 3.HOME/.config/containers/registries.conf
授权文件
此文件里面写了docker账号的密码,以加密方式显示
[root@localhost ~]# podman login Username: ziczhou Password: Login Succeeded! [root@localhost ~]# cat /run/user/0/containers/auth.json { "auths": { "docker.io": { "auth": "emljemhvdTp6emQyd2J5Li4u" } }
普通用户是无法看见root用户的镜像的
//root用户的镜像 [root@localhost ~]# podman images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/library/httpd latest f2a976f932ec 2 weeks ago 149 MB //普通户用 [root@localhost ~]# su - zic [zic@localhost ~]$ podman images REPOSITORY TAG IMAGE ID CREATED SIZE
使用卷
- 容器与root用户一起运行,则root容器中的用户实际上就是主机上的用户。
- UID GID是在/etc/subuid和/etc/subgid等中用户映射中指定的第一个UID GID。
- 如果普通用户的身份从主机目录挂载到容器中,并在该目录中以根用户身份创建文件,则会看到它实际上是你的用户在主机上拥有的。
[zic@localhost ~]$ podman run -it -v $(pwd)/date:/date:Z httpd /bin/bash root@f6a726f506b1:/usr/local/apache2# cd / root@f6a726f506b1:/# ls bin boot date dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var root@f6a726f506b1:/# ls /date/ root@f6a726f506b1:/# cd /date/ root@f6a726f506b1:/date# touch 123 root@f6a726f506b1:/date# ls -l total 0 -rw-r--r--. 1 root root 0 Aug 21 13:53 123
在主机上查看
[zic@localhost ~]$ ls $HOME/date 123 //写入内容 [zic@localhost ~]$ echo "Hello World!" > $HOME/date/123 [zic@localhost ~]$ cat $HOME/date/123 Hello World!
容器里查看
root@f6a726f506b1:/date# cat 123 Hello World! //我们可以发现在容器里面的文件的属主和属组都属于root,那么如何才能让其属于zic用户呢? root@f6a726f506b1:/date# ls -l total 4 -rw-r--r--. 1 root root 13 Aug 21 13:56 123 //只要在运行容器的时候加上一个--userns=keep-id即可 [zic@localhost ~]$ podman run -it --name web1 -v $(pwd)/date:/date:Z --userns=keep-id httpd /bin/bash zic@6412d55309af:/$ cd /date/ zic@6412d55309af:/date$ ls -l total 4 -rw-r--r--. 1 zic zic 13 Aug 21 13:56 123
使用普通用户映射容器端口时会报“ permission denied”的错误
//删除web1容器 [zic@localhost ~]$ podman rm -f web1 [zic@localhost ~]$ podman run -itd --name web1 -v $(pwd)/date:/date:Z -p 80:80 httpd Error: rootlessport cannot expose privileged port 80, you can add 'net.ipv4.ip_unprivileged_port_start=80' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024): listen tcp 0.0.0.0:80: bind: permission denied //删除最近一次创建的容器,也就是web1 [zic@localhost ~]$ podman rm -fl
普通用户可以映射>= 1024的端口
[zic@localhost ~]$ podman run -itd --name web1 -p 1024:80 -v $(pwd)/date:/date:Z httpd fd4d574396a42cde4822930d89acec6d597e1152ef5ad88a73a230bfa4e1aa65 [zic@localhost ~]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES fd4d574396a4 docker.io/library/httpd:latest httpd-foreground 2 seconds ago Up 2 seconds ago 0.0.0.0:1024->80/tcp web1 [zic@localhost ~]$ ss -antl State Recv-Q Send-Q Local Address:Port Peer Address:Port Process LISTEN 0 128 0.0.0.0:111 0.0.0.0:* LISTEN 0 128 0.0.0.0:22 0.0.0.0:* LISTEN 0 128 *:1024 *:* LISTEN 0 128 [::]:111 [::]:* LISTEN 0 128 [::]:22 [::]:*
配置echo ‘net.ipv4.ip_unprivileged_port_start=80’ >> /etc/sysctl.conf后可以映射大于等于80的端口
//切换到root用户 [root@localhost ~]# vim /etc/sysctl.conf net.ipv4.ip_unprivileged_port_start=80 [root@localhost ~]# sysctl -p net.ipv4.ping_group_range = 0 200000 net.ipv4.ip_unprivileged_port_start = 80 //切换到zic用户 [root@localhost ~]# su - zic Last login: Sun Aug 21 21:54:50 CST 2022 on pts/2 //创建容器 [zic@localhost ~]$ podman run -itd --name web2 -v $(pwd)/date:/date:Z -p 80:80 httpd bdd64e999ce8f526af9d0bb93b091b39c188b2adf2e65608ffe72afda044eb38 [zic@localhost ~]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES fd4d574396a4 docker.io/library/httpd:latest httpd-foreground 4 minutes ago Up 4 minutes ago 0.0.0.0:1024->80/tcp web1 bdd64e999ce8 docker.io/library/httpd:latest httpd-foreground 5 seconds ago Up 4 seconds ago 0.0.0.0:80->80/tcp web2 [zic@localhost ~]$ ss -antl State Recv-Q Send-Q Local Address:Port Peer Address:Port Process LISTEN 0 128 0.0.0.0:111 0.0.0.0:* LISTEN 0 128 0.0.0.0:22 0.0.0.0:* LISTEN 0 128 *:1024 *:* LISTEN 0 128 [::]:111 [::]:* LISTEN 0 128 *:80 *:* LISTEN 0 128 [::]:22 [::]:*
