有没有长期用过的,docker 生态要强很多,但是 podman 又很多人吹,so 有没有人对比过
谁才是真正的“西楚霸王”

当年 win10 刚出的时候,你升级了吗?
升的话就选 podman ,否则用 docker

不是你想用什么的问题,而是 docker 只能用守护进程+root ,这个对很多看重安全的公司来讲是不能被接受的,我们今年已经开始切 podman 了,这两天正在踩坑

工具而已,喜欢哪个用哪个

看需求吧.
我们公司:
dev 虚拟机里装 podman
正式服务器, 之前的用的 Docker, 新增的用 Podman.
自己打包的用 podman. 拉取仓库的用 Docker.(因为之前用 podman 拉取仓库时配置镜像后有的一直拉不下来)

新项目的话,建议从 podman 开始了

我觉得“这类”公司都是 sb 啊
他们普通用户的权限不还是 root 降级而得到的么
有种把内核也降到非 root 啊

没有上 k8s 的本菜鸡连 podman container 的开机自启都没搞定,手动必成功,走 systemctl start 必 125 ,搜解决方案,全试了都没用😓如果你跟我一样不熟悉这方面,还是 docker 吧

歪个楼,既然 Podman 可以不使用守护进程和 root 权限运行,那 docker 应该也可以做到吧?
让选择困难症的人头大。

windows 上 podman 占资源多吗

padman -> podman

他说的是容器相关的组件不以 root 运行吧~可以一定程度上防止 docker 逃逸

#11 真有逃逸那个技术,普通用户提权对人家也不是难事吧。

docker 已经不需要在 root 下运行了。

dockerd-rootless-setuptool.sh install

rootless 还限制了特定安全端口使用,但可以修改限制。

#12 不能因为一锤子能敲开锁,就不给门上锁了。
→_→Ubuntu 上用 Snap 安装 Docker ,逃出 Docker 后发现在 Snap 的沙盒里~

#14 说的是 root 用户运行。 感觉真会逃逸技术了普通用户和 root 没啥区别。 那么多人研究 linux 提权的。 单纯普通用户防止自己人犯错还是有必要

我感觉是因为这些公司不能完全审查私有部署的服务(或者没有这个能力),所以就一刀切了,同行也有让用 docker 的,咱不过是挣钱的,就当是带薪学习了

使用 podman generate systemd 来搞,就是普通用户,启动,完全没问题。

外面还可以套一个虚拟机,虚拟机里跑 ubuntu

没太大区别,就一个权限问题,你有 root 权限吗,你能熟练操作 root 账号吗,能?那就是 docker

逃逸肯定要比提权简单啊……比如 docker.sock 挂进容器,就可以 run --privilege 一个 root 容器了,内核提权需要搞 kernel 的漏洞……

#20 从 docker 容器中获取到宿主机的 root shell 和从普通用户提权到 root shell 差不多 。 内核提权只是一种方法。 用普通用户执行就是多加一层安全性

#20 但是这层 安全性 防的是 podman 出逃逸漏洞了黑客批量获取到的是普通用户的 shell ,防下脚本小子还可以。 专业团队的话 linux 提权本身就是个研究大方向。

在试用 podman ,很多说不清的卡住的情况。比如说前两天我,推送、拉取镜像,就有卡住不动的时候,还有 registry 报权限问题的。

都是说不清楚怎么就出问题的。错误提示基本没有。

wsl2 没有 systemd ,所以用的 podman

如果你有疑问,那就用 docker ,因为用 docker 不会产生意外疑问

你大爷终究还是你大爷啊. 不要听别人吹. 生活中很多事情, 基本上要达到同样的成熟度要用差不多的时间.

大家用啥我用啥,毕竟菜鸡碰到问题好能搜到解决方案。。。

熟练操作 root 帐号包括哪些?不 rm -rf 算吗?