当今的世界是云和容器的世界，基本的基础设施都基本基于云原生和容器。容器的地位凸显了出来，动辄一键上万个容器情况下，安全的问题却常常被忽视。通常情况下容器的编排、配置和参数配置都是出自开发人员之手，这些配置可能没有经过严格的安全审计、没有权限控制，甚至没有标准化，混乱不堪。除了在强力策略和配置管理外，其实借助更好的工具可以帮我们从根源上杜绝很多问题。

在安全容器编排上，就有一个更好的工具Podman可以用来替代Docker从而实现更现代、更标准、更安全的容器云。

概述

容器，是一个独立的可执行包，其中包含应用程序运行所需的所有内容，包括代码、运行时、库和系统设置，利用容器我们可以在何时何地都能启动该应用程序，让其以同样方式运行。Java发明时候吹的“一次编译，到处运行”的牛到容器时代才算实现了！

容器很好的解决了不同机器上环境配置差异导致的运行差异的问题，即运行时一致性。

有了容器，咱们再也无需担心Python版本问题，也不用害怕npm黑洞了。

容器体系的核心是容器运行时，容器运行时用来管理和执行容器。比如docker就是一个传统的容器运行时，还有后来从docker中分离出来的containerd和OCI标准的cri-o。

优势

相比较传统的docker运行，Podman的优势明显：

无root架构：Docker运行需要，由宿主机root权限的Docker Daemon监听程序，该监听程序会开放一个对外端口2375，而且默认情况下无需授权的，利用该程序就可以远程任意启动和删除容器。

也可以利用容器逃逸漏洞，获得Docker Daemon权限，从而得到宿主机的root权限。

Podman则使用完全不同的玩法，使用子进程方式，无守护进程，从而也无需root权限。

安全漏洞：Docker中的root访问权限允许它通过读取文件、安装程序、编辑应用程序等来管理容器。然而，这也给系统带来了安全漏洞，使守护进程成为黑客的有吸引力的目标。

黑客目标：如果黑客设法破坏守护进程，就可以获得容器集群中的敏感数据、执行恶意代码、更改容器配置，甚至摧毁容器集群。

使用SELinux增强安全性：与Docker相比，Podman通过使用安全增强型 Linux (SELinux)标签启动每个容器来增强其安全性。

对其他工具的依赖：由于Podman是无root的，因此它不直接管理容器。

但是Podman支持所有OCI的云原生工具和其他工具来进行容器管理：

Systemd：Podman调用配置的容器运行时来创建正在运行的容器。但由于没有专用的守护进程，Podman可以使用systemd来进行更新并保持容器在后台运行。

Buildah：OCI的云原生工具，用于构建与开放容器计划(OCI)兼容的容器。Buildah可以创建和管理容器，而无需安装完整的容器运行时或守护程序。

Skopeo：OCI的云原生工具，Skopeo是一个命令行实用程序，用于使用容器镜像和镜像托管注册表执行各种操作，容器的轻量级解决方案。

所有以上工具各自其职，构成了以Podman为核心的新一代容器系统。

基本设置

Poman安装配置和docker一样也是非常方便容易。

安装

Podman目前支持在Linux、MacOS和Window下安装。

Linux下安装则支持yum、dnf、apt-get、pacman、apk等各发行版对应的包管理器一键安装。在window下的程序使用Podman Windows，容器系统基于WSL。

在MacOS（本文以此为基础环境，下面不在说明）下是基于QEMU容器，安装可使用Homebrew：

brew install podman

初始化

对于MacOS要运行podman需要首先初始化，可使用：

podman machine init

该命令初始化运行容器的新Linux虚拟机。自动生成SSH密钥以访问VM以及与 root帐户的系统连接并添加虚拟机内的用户帐户。

Podman-Compose

Podman-Compose是一个使用Podman运行Docker Compose的脚本，可以使用

 brew install podman-compose

针对如下一个Compose配置编排

可以使用

podman compose up -d

启动对应的两个数据库容器。

Podman-Desktop

Podman-Desktop为Podman提供类似Docker桌面的体验。安装它使用brew install podman-desktop

例如，可以检查Podman Desktop，查看上一步中创建的的两个镜像和运行的容器：

可以使用podman info验证Podman详细信息验证Podman的安装和配置细节，下面一个例子：

也可以用Podman CLI验证Podman的详细信息、检查其镜像并管理正在运行的容器。

安全性

对给定的三个场景场，三个Linux用户创建的容器。其中左右两边的用户使用podman创建，其容器系统为隔离的无root权限的，这些用户只能访问各自用户命名空间内的资源。该设置增强了安全性，因为它限制每个容器对其自己的命名空间的访问。

而上面的用户用了docker，用类似的命令创建了命令，由于其使用的docker底层使用的Docker Daemon，它拥有有root访问权限，可以查看主机系统上的所有资源，甚至是其名称空间之外的资源。这会带来安全风险，因为会让系统遭受潜在的攻击。相比之下，Podman这种无root架构，限制了对用户自己命名空间的访问，增强了安全性。

总结

在容器云时代，数据隐私和安全至关重要。安全不合规会导致严重后果，轻则导致数据泄露、重则集群沦为肉鸡。Podman以安全编排为基础构建，可以帮助用户实现安全、标准、合规的容器生态。

2024年了请动手更换自己的容器把，别再遗留隐患了。