Si vous êtes dans le monde de la virtualisation et de la conteneurisation, vous avez probablement rencontré Podman et Docker et vous vous demandez peut-être en quoi ils sont différents l'un de l'autre.
Dans cet article, nous allons explorer les différences entre Docker et Podman et essayer de trouver lequel sera le bon choix pour vous !
Docker
Docker est une technologie de conteneurisation qui facilite la gestion des dépendances au sein d'un projet à tous les niveaux (développement et déploiement).
Disponible sur Linux, Windows et Mac OS, le mécanisme de Docker est centré sur les conteneurs et leur orchestration, et c'est là que la conteneurisation diffère de la virtualisation.
Docker a deux blocs de construction principaux : Docker CLI et Docker Daemon.
Démon Docker :
Il s'agit d'un processus d'arrière-plan constant qui permet de gérer les images Docker, les conteneurs, les réseaux et les volumes de stockage. Docker utilise son API REST Docker Engine pour interagir avec le démon Docker, accessible via le protocole HTTP.
Interface de ligne de commande Docker :
Il s'agit du client de ligne de commande Docker pour interagir avec le démon Docker. C'est ce que vous utilisez lorsque vous exécutez une commande Docker.
Le fonctionnement de Docker est basé sur le noyau Linux et les fonctions de ce noyau, telles que les cgroups et les espaces de noms. Ces fonctions séparent les processus afin qu'ils puissent s'exécuter indépendamment, car le but des conteneurs est d'exécuter plusieurs processus et applications séparément.
C'est ce qui permet d'optimiser l'utilisation de l'infrastructure sans réduire le niveau de sécurité par rapport aux systèmes séparés.
Tous les outils de conteneur comme Docker sont livrés avec un modèle de déploiement basé sur l'image. Ce modèle simplifie le partage d'une application ou d'un ensemble de services dans plusieurs environnements.
De plus, Docker permet d'automatiser le déploiement d'applications dans un environnement de conteneur. Grâce à ces différents outils, les utilisateurs bénéficient d'un accès complet aux applications et peuvent accélérer le déploiement, contrôler les versions et les affecter.
Podman
Podman (le POD MANager ) construit, exécute et gère les conteneurs OCI et les images de conteneurs. Il a été développé par Red Hat et destiné à l'origine à son entreprise Linux 8. Il est utilisé pour la gestion des conteneurs et agit comme le successeur officiel de Docker.
Red Hat par conséquent support interrompu pour Docker mais a assuré que le changement serait facile pour les utilisateurs puisque Podman est basé sur Docker bien qu'à l'origine il n'ait été conçu que comme un outil de débogage.
Il gère l'ensemble de l'écosystème de conteneurs en utilisant le bibliothèque libpod. Étant donné que Podman ne fonctionne que sur les plates-formes Linux, une API REST et des clients sont actuellement en cours de développement pour permettre aux systèmes Mac et Windows d'appeler le service.
Toutefois, il existe actuellement un client distant basé sur Varlink qui fonctionne sur les plates-formes Mac ou Windows et qui permet la communication à distance avec un serveur Podman basé sur Linux. La bibliothèque libpod prend en charge plusieurs méthodes pour télécharger des images en toute sécurité, y compris la confiance et la vérification d'image.
Il prend également en charge les pods pour gérer ensemble des groupes de conteneurs et plusieurs formats d'image, y compris les formats d'image OCI et Docker.
Dans des environnements très petits et gérables, Podman peut même servir de précurseur à Kubernetes. Il comble le fossé entre la gestion singulière des instances individuelles des premières années du battage publicitaire des conteneurs et l'orchestration moderne avec Kubernetes.
Les utilisateurs de conteneurs ambitieux peuvent déjà profiter du niveau supérieur avec les pods. La construction et l'exploitation d'un cluster Kubernetes ne sont plus nécessaires. Dans le cas le plus simple, les pods nouvellement conçus peuvent être testés et améliorés lors d'opérations individuelles. Même un transfert ultérieur vers Kubernetes est possible.
La commande podman generate kube fournit les fichiers de configuration correspondants. Ceux-ci servent ensuite un à un comme entrée pour le Outil Kubernetes kubectl.
Les versions actuelles de Podman peuvent même créer des fichiers de configuration pour systemd - un régal pour quiconque utilise le successeur init omniprésent pour l'orchestration des conteneurs.
Podman vs Docker: Differences
Docker s'est rapidement imposé comme le cheval de bataille de la gestion des conteneurs. Cependant, Docker présente de nombreux avantages et, surtout, le répertoire d'images en croissance rapide, ainsi que des inconvénients et d'éventuels risques de sécurité. De plus, Docker est N'est plus pris en charge comme conteneur pour Kubernetes.
Le fait que les conteneurs, contrairement aux systèmes virtuels, ne nécessitent pas leur noyau est généralement considéré comme l'un des grands avantages. Cependant, cela pose un risque de sécurité majeur avec Docker car Conteneurs Docker ne peut être exécuté qu'avec les privilèges root.
Il permet aux processus exécutés dans les conteneurs d'accéder au noyau avec les privilèges root et ainsi d'attaquer le système hôte.
La première distinction est évidente lorsque vous l'utilisez pour la première fois. Alors que Docker nécessite que le démon Docker soit démarré en premier, un conteneur Podman peut être démarré directement à partir de la ligne de commande. Il n'y a donc pas de processus en arrière-plan et l'application n'est exécutée qu'en cas de besoin.
Du point de vue de la sécurité, c'est une bonne chose car Podman est moins vulnérable aux attaques si le démon n'a pas à fonctionner 24h/7 et XNUMXj/XNUMX avec des privilèges de superutilisateur. Podman ne nécessite pas de processus d'arrière-plan en raison de l'architecture, qui diffère fondamentalement de Docker.
Alors que Docker suit le modèle client-serveur, où le client Docker communique avec le démon Docker via une API, Podman suit le modèle fork-exec. Chaque conteneur s'exécute en tant que processus enfant de Podman.
Un espace de noms d'utilisateur est créé lors de la première utilisation lorsque Podman est exécuté avec des privilèges d'utilisateur normaux. Dans l'espace de noms d'utilisateur, Podman s'exécute avec les privilèges root et a le droit de monter des systèmes de fichiers et de créer des conteneurs.
Par conséquent, le conteneur Podman n'a que les droits dont dispose l'utilisateur exécutant. L'utilisation d'espaces de noms d'utilisateur signifie que chaque utilisateur peut créer et gérer ses propres conteneurs, mais ceux-ci ne sont pas visibles pour les autres utilisateurs et le superutilisateur.
Parce que Podman est exploité indépendamment de Docker, les développeurs ont une grande marge de manœuvre et peuvent répondre aux souhaits de la communauté. Les ajouts intéressants à Podman incluent la commande mount/unmount et l'intégration systemd.
L'hôte peut utiliser la commande mount/unmount pour monter le système de fichiers du conteneur, par exemple, pour accéder ou modifier des fichiers, puis les démonter à nouveau.
Bien que la surveillance des conteneurs à l'aide de systemd ne fonctionne pas en raison du démon de Docker avec Podman, les conteneurs peuvent être démarrés, surveillés et même redémarrés via systemd.
De plus, Podman fournit le podman generate systemd commande, qui génère un service systemd correspondant pour le conteneur respectif et soulage ainsi l'utilisateur de la création des services systemd, ce qui signifie que l'intégration sur le système hôte est disponible.
Une autre différence cruciale entre Podman et Docker est que ce dernier ne modifie pas les règles de pare-feu ou les dnsmasq installer en raison de sa capacité à créer un réseau interne. En revanche, Docker doit écraser les règles de pare-feu pour permettre la communication inter-conteneurs.
| Podman | Docker | |
| Architecture | démon | Démon moins |
| Gestion des services | Systemd | Docker Engine |
| Compatibilité du pare-feu | Remplace les règles de pare-feu | Respecte les règles du pare-feu |
| Plateforme | Prise en charge native de Linux | Linux, Windows et Mac |
Quand devez-vous migrer de Docker vers Podman
Si vous déployez des conteneurs dans un environnement basé sur RHEL, dans ce cas, vous n'avez pas beaucoup d'options sauf utiliser Podman car il est natif RHEL. Vous pouvez également migrer vers ou choisir Podman plutôt que Docker si vous avez de petits déploiements avec peu de conteneurs.
Cependant, si vous voulez devenir plus complexe que cela, ayez plusieurs conteneurs et une pile de conteneurs coordonnés avec docker-compose/podman-compose sur un réseau. Il est préférable d'utiliser Docker car il gère de mise en réseau beaucoup mieux.
De même, si vous commencez tout juste à entrer dans le monde des conteneurs, dans ce cas, Docker est une meilleure option car il est stable, bien établi avec une documentation appropriée et a une courbe d'apprentissage peu profonde par rapport à Podman, qui manque encore de stabilité et n'a pas de documentation bien définie.
Migration from Podman to Docker
Si vous êtes en ligne de commande, il est assez facile de passer de Docker Engine à Podman. Dans sa forme la plus simple, un $ alias docker=podman la commande fonctionne la plupart du temps.
Bien sûr, cela suppose que le logiciel approprié est installé sur le système. Dans le cas de Linux, ce n'est pas non plus un problème ; Des progiciels prêts à l'emploi sont disponibles pour les distributions disponibles dans le commerce.
Windows ou macOS ne font pas partie des systèmes d'exploitation pris en charge. L'approche par alias fonctionne car de nombreuses commandes Docker ont un équivalent Podman.
Mais il y a aussi des exceptions car certaines commandes Docker n'ont pas d'équivalent dans le monde Podman. De même, certaines commandes se comportent différemment dans Docker que dans l'univers Podman. Pour le moment, cela n'affecte que le traitement des volumes déjà configurés.
Le changement est un peu plus difficile lorsque des outils graphiques tels que Bureau Docker sont en cours d'utilisation. Cela devrait particulièrement affecter les développeurs qui travaillent avec Windows ou macOS.
Les utilisateurs de Docker Desktop devront s'habituer à la ligne de commande, et il en va de même pour Docker compose. Cependant, il existe le projet podman-compose. Écrit en Python, le logiciel remplace Docker compose.
Mot de la fin
Le remplacement de Docker par Podman peut être considéré comme presque terminé. Pour les utilisateurs et les administrateurs, la plupart des aspects de ce changement sont simples. De nombreuses fonctionnalités de Docker ont des équivalents identiques dans Podman.
Un véritable avantage est l'absence d'un processus démon unique et de privilèges root, sans parler de l'utilisation naturelle des groupes de conteneurs. Cependant, il convient de mentionner que Docker reste la principale technologie concernant les conteneurs, mais cela changera très probablement à long terme.
Vous pouvez également explorer certains Commandes Docker pour gérer les conteneurs.
