Up4Soft Nov 14 2025 at 08:24

Архитектура Rootless Podman: Полное руководство по контейнерам

Medium

3 min

9.7K

DevOps * System administration * Information Security * IT Standards *

Comments 9

gotch Nov 14 2025 at 08:44

Проблема Docker: демон требует root → единая точка отказа

Rootless mode | Docker Docs

GritsanY Nov 14 2025 at 08:54

Больше похоже на список буллетов для презентации и последующего разъяснения, чем на статью. Либо для тех, кто уже и так глубоко в теме, но зачем им статья, оправдывающая существование rootless-контейнеризации?

andrico21 Nov 17 2025 at 05:19

Соглашусь с комментарием. Да, с podman из коробки значительно проще организовать rootless-сценарии, но в статье виден только некий каркас без наполнения. Где реальные кейсы побега? (да, их действительно хватает - в статье лишь упоминание таковых без подробностей). Автор, расскажи про то как pasta отличается от slirp4netns в части заголовков в пакетах, какие ограничения у pasta есть в плане работы с localhost.

2gotch: rootless-мод в докере мало общего имеет с реализацией в подмане - демон всё-равно болтается :)

gotch Nov 19 2025 at 07:36

Не спорю, но тем не менее утверждение автора не совсем соответствует действительности.

vlad196 Nov 15 2025 at 05:13

Странная подача, напоминающая черновик для презентации, структура, напоминающая использование LLM, заголовок непонятно о чём (и где тут полное руководство?), какой-то непонятный наезд на докер, который уже давно умеет в rootless...а это точно статья?

Andreas_Fogel Nov 16 2025 at 08:35

Ставлю лайк за то, что хоть кто-то начал говорить о Podman, который построен на LXC контейнеризации, нативной и безопасной, и сразу с rootless правами, в отличии от всеогибающего Docker. Но как же бесит перестраивать все скрипты с docker на podman. Для непонятливых rootless, нужен для того, чтобы как конченный нерд не изучать как со всех сторон в docker включить этот самый rootless, чтобы вашу машинку не угнали. А для того чтобы новички не плодили опасностей на корпоративных серваках своими кривыми ручонками. Если нерды докероводы привыкли тратить время на прописывание rootless директив, то флаг им в руки, но вы с ним все равно уступите Podman, так как у него используются LXC контейнеры, точно также как и у вашего любимого proxmox. И где же докер тогда, хм ну не знаю. Просто надо было узнавать про контейнеризацию лучше и понять, что стандартов у docker нету, зато они есть у nerdctl проекта containerd, а также у podman. Многие девопсы давно перешли на них и кайфуют.

andrico21 Nov 17 2025 at 06:58

Вам понравится, думаю 😁 вот буквально ночью зарелизил https://github.com/andrico21/awg-rootless

navion Nov 21 2025 at 09:11

Вы не сравнивали производительность в разных режимах? Какие потери от сетевых костылей в rootless-режиме?

andrico21 Nov 21 2025 at 13:46

сравнивал мельком внутри - разница есть и она в пользу классического bridge (rootful-сценарий), но с другой стороны во всех трёх случаях получал не менее 400Мбит на виртуальных машинах (Proxmox) в тестах с OpenSpeedTest