容器入门（2） - podman/docker

说明：

• 在开始本章前，需要先完成《容器入门（1） - 安装和使用Docker
  Registry》
• 下文中podman和docker命令可以互换。

客户端配置文件

Podman使用了/etc/containers/registries.conf和/etc/containers/storage.conf文件定义客户端环境配置。其中registries.conf定义了podman能够访问到的container registry服务器的信息，而storage.conf定义了podman保存在本地的容器镜像和其运行容器的文件目录。我们可以通过执行“podman info”查看这些配置是否生效。

$ podman info
host:
  BuildahVersion: 1.9.0
  Conmon:
    package: podman-1.4.4-4.el7.x86_64
    path: /usr/libexec/podman/conmon
    version: 'conmon version 0.3.0, commit: unknown'
  Distribution:
    distribution: '"rhel"'
    version: "7.7"
  MemFree: 1084551168
  MemTotal: 2096144384
  OCIRuntime:
    package: runc-1.0.0-65.rc8.el7.x86_64
    path: /usr/bin/runc
    version: 'runc version spec: 1.0.1-dev'
  SwapFree: 2145644544
  SwapTotal: 2147479552
  arch: amd64
  cpus: 1
  hostname: registry
  kernel: 3.10.0-1062.el7.x86_64
  os: linux
  rootless: false
  uptime: 19h 40m 40.17s (Approximately 0.79 days)
registries:
  blocked: null
  insecure:
  - registry.domain.com
  search:
  - docker.io
  - registry.fedoraproject.org
  - quay.io
  - registry.access.redhat.com
  - registry.centos.org
  - registry.domain.com
store:
  ConfigFile: /etc/containers/storage.conf
  ContainerStore:
    number: 2
  GraphDriverName: overlay
  GraphOptions: null
  GraphRoot: /var/lib/containers/storage
  GraphStatus:
    Backing Filesystem: xfs
    Native Overlay Diff: "true"
    Supports d_type: "true"
    Using metacopy: "false"
  ImageStore:
    number: 2
  RunRoot: /var/run/containers/storage
  VolumePath: /var/lib/containers/storage/volumes

系统全局的配置文件位于/etc/containers/registries.conf和/etc/containers/storage.conf，用户也可以使用“~/.config/containers/registries.conf”、“~/.config/containers/storage.conf”覆盖系统全局的配置。
在registries.conf文件中“[registries.search]”是podman搜索镜像的目标registry，而“[registries.insecure]”定义了可以不通过TLS访问的registry。

[registries.search]
registries = ['registry.access.redhat.com', 'registry.redhat.io', 'docker.io']
 
[registries.insecure]
registries = []
 
[registries.block]
registries = []

在storage.conf文件中，“graphroot”参数是用来定义存放Image和容器可写内容的目录（其下面对应相关的子目录）；而“runroot”参数是用来定义存放容器临时可写内容的目录；“VolumePath”参数指定了“podman volume create”命令创建的目录位置。

登录Registry

$ podman login -u user1 -p password1 ${REGISTRY_DOMAIN}:5000

查询镜像

1. podman默认是搜索/etc/containers/registries.conf文件中“[registries.search]”中配置的registry。
2. 查询“docker.io/busybox”镜像，只返回3个结果。

$ podman search docker.io/busybox --limit 3
INDEX       NAME                              DESCRIPTION                                       STARS   OFFICIAL   AUTOMATED
docker.io   docker.io/library/busybox         Busybox base image.                               1931    [OK]
docker.io   docker.io/radial/busyboxplus      Full-chain, Internet enabled, busybox made f...   31                 [OK]
docker.io   docker.io/yauritux/busybox-curl   Busybox with CURL                                 8

3. 查本地Registry上的busybox镜像。

$ podman search ${REGISTRY_DOMAIN}:5000/busybox --limit 3
INDEX             NAME                               DESCRIPTION   STARS   OFFICIAL   AUTOMATED
domain.com:5000   registry.domain.com:5000/busybox                 0

pull/push 镜像

1. 将busybox镜像从docker.io拉到本地缓存。注意“Storing signatures”后面的字符创。

$ podman pull busybox
Trying to pull docker.io/library/busybox...Getting image source signatures
Copying blob 91f30d776fb2 done
Copying config c7c37e472d done
Writing manifest to image destination
Storing signatures
c7c37e472d31c1685b48f7004fd6a64361c95965587a951692c5f298c6685998

2. 查看本地镜像缓存。注意“IMAGE ID”的内容是上面““Storing signatures”的一部分。

$ podman images
REPOSITORY                  TAG      IMAGE ID       CREATED      SIZE
docker.io/library/busybox   latest   c7c37e472d31   2 days ago   1.44 MB

3. 设置podman在本地存放镜像的目录。

$ PODMAN_DATA_DIR=/var/lib/containers/storage

4. 查看镜像的存储目录，确认有上面有对应“IMAGE ID”的“c7c37e472d31c1685b48f7004fd6a64361c95965587a951692c5f298c6685998”目录。

$ ll ${PODMAN_DATA_DIR}/overlay-images
total 8
drwx------.  2 root root  244 Jul  2 13:55 c7c37e472d31c1685b48f7004fd6a64361c95965587a951692c5f298c6685998
-rw-------.  1 root root 1134 Jul  2 13:55 images.json
-rw-------.  1 root root   64 Ju
l  2 13:55 images.lock

访问非安全的Registry

当podman访问Registry的时候进行build、commit、pull或push操作的时候，如果所访问的Registry在“[registries.insecure]”中，那么podman缺省用“–tls-verify=false”发起请求。如果访问其它Registry（没有在registries.conf中定义或在registries.conf中定义为“[registries.search]”），podman缺省用“–tls-verify=true”发起请求。如果需要不使用上述缺省访问，可以在命令中会用“–tls-verify”。

查看镜像分层目录

$ podman image tree busybox
Image ID: c7c37e472d31
Tags:    [docker.io/library/busybox:latest]
Size:    1.444MB
Image Layers
└──  ID: 50761fe126b6 Size: 1.442MB Top Layer of: [docker.io/library/busybox:latest]

保存镜像-恢复镜像

1. 执行命令，确认本地有busybox镜像。

$ podman images
REPOSITORY                  TAG      IMAGE ID       CREATED      SIZE
docker.io/library/busybox   latest   c7c37e472d31   4 days ago   1.44 MB

2. 执行命令，将本地docker.io/library/busybox:latest镜像保存到文件中。

$ podman save --quiet -o busybox.tar docker.io/library/busybox:latest
Getting image source signatures
Copying blob 50761fe126b6 done
Copying config c7c37e472d done
Writing manifest to image destination
Storing signatures
 
$ ll busybox.tar
-rw-r--r--. 1 root root 1451008 Jul  3 16:08 busybox.tar

3. 将本地docker.io/library/busybox:latest镜像删除。

$ podman rmi docker.io/library/busybox:latest
c7c37e472d31c1685b48f7004fd6a64361c95965587a951692c5f298c6685998
 
$ podman images
REPOSITORY   TAG   IMAGE ID   CREATED   SIZE

4. 从busybox.tar文件加载busybox镜像，然后确认镜像已经加载成功。

$ podman load --quiet -i busybox.tar
Loaded image(s): docker.io/library/busybox:latest
 
$ podman images
REPOSITORY                  TAG      IMAGE ID       CREATED      SIZE
docker.io/library/busybox   latest   c7c37e472d31   4 days ago   1.44 MB

运行容器，并观察对应进程和使用的存储

1. 在Terminal 1中运行busybox容器，然后在其中创建1个目录和hello.txt，然后查看容器内的主机名。注意不要退出。

$ podman run --name busybox-local -it ${REGISTRY_DOMAIN}:5000/busybox
/ # mkdir mydir1
/ # echo hello > mydir1/hello.txt
/ # hostname
84625108be74

2. 在Terminal 2中运命令，查看运行的容器。其中“CONTAINER ID”为“84625108be74”，和容器内的主机名相同。

$ podman ps
CONTAINER ID  IMAGE                                    COMMAND  CREATED         STATUS             PORTS  NAMES
84625108be74  registry.domain.com:5000/busybox:latest  sh       1 minutes ago   Up 1 minutes ago         busybox-local

3. 在Terminal 2中运命令，查看系统进程，确认能看到容器是通过“/usr/libexec/podman/conmon”进程运行起来的，运行的容器就是一个系统进程。另外，其中的“/var/lib/containers/storage/overlay-containers/xxxxxxxxxx/userdata”中的“xxxxxxxxxx”就是该容器的ID。

$ ps -ef | grep busybox
root      5340     1  0 13:52 ?        00:00:00 /usr/libexec/podman/conmon -s -c 84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686 -u 84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686 -n busybox-local -r /usr/bin/runc -b /var/lib/containers/storage/overlay-containers/84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686/userdata -p /var/run/containers/storage/overlay-containers/84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686/userdata/pidfile --exit-dir /var/run/libpod/exits --exit-command /usr/bin/podman --exit-command-arg --root --exit-command-arg /var/lib/containers/storage --exit-command-arg --runroot --exit-command-arg /var/run/containers/storage --exit-command-arg --log-level --exit-command-arg error --exit-command-arg --cgroup-manager --exit-command-arg systemd --exit-command-arg --tmpdir --exit-command-arg /var/run/libpod --exit-command-arg --runtime --exit-command-arg runc --exit-command-arg --storage-driver --exit-command-arg overlay --exit-command-arg container --exit-command-arg cleanup --exit-command-arg 84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686 --socket-dir-path /var/run/libpod/socket -t -l k8s-file:/var/lib/containers/storage/overlay-containers/84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686/userdata/ctr.log --log-level error
 
$ more /var/run/containers/storage/overlay-containers/84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686/userdata/pidfile
5340
 
$ more /var/run/containers/storage/overlay-containers/84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686/userdata/hostname
84625108be74  
 
$ more /var/run/containers/storage/overlay-containers/84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686/userdata/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.6     registry.domain.com
10.88.0.21      84625108be74  

4. 执行命令，列出所有已挂载容器挂载点。返回结果包括容器ID和其挂载点目录。

$ podman mount
84625108be74  /var/lib/containers/storage/overlay/8a1697a77a6f7acc87a6ce5042c7b890b30260bf8d64c31f01105af5adf3cf12/merged

5. 在Terminal 2中运命令，查找名为“hello.txt”的文件。确认可以查到2个名为“hello.txt”的文件，一个是在“xxxxxxxxxxxxxxxxxx/diff/mydir1”目录中，另一个在“xxxxxxxxxxxxxxxxxx/merged/mydir1”中。

$ find / -name hello.txt
/var/lib/containers/storage/overlay/8a1697a77a6f7acc87a6ce5042c7b890b30260bf8d64c31f01105af5adf3cf12/diff/mydir1/hello.txt
/var/lib/containers/storage/overlay/8a1697a77a6f7acc87a6ce5042c7b890b30260bf8d64c31f01105af5adf3cf12/merged/mydir1/hello.txt

6. 在Terminal 1中运命令，从“busybox”容器中退出。

/ # exit

7. 再次在Terminal 2中运命令，查找名为“hello.txt”的文件。确认只能在“xxxxxxxxxxxxxxxxxx/diff/mydir1”目录中查到1个名为“hello.txt”的文件了。

$ find / -name hello.txt
/var/lib/containers/storage/overlay/8a1697a77a6f7acc87a6ce5042c7b890b30260bf8d64c31f01105af5adf3cf12/diff/mydir1/hello.txt

8. 执行命令，查看busybox-local容器的文件系统变化情况。

$ podman diff busybox-local
C /etc
A /mydir1
A /mydir1/hello.txt
C /root
A /root/.ash_history

查看容器日志

1. 在Terminal 1中执行命令，查看所有运行的容器，其中有刚刚运行并退出的“busybox-local”容器。此时该容器的环境还在，只不过没有运行。

$ podman ps -a
CONTAINER ID  IMAGE                                    COMMAND  CREATED         STATUS                      PORTS  NAMES
84625108be74  registry.domain.com:5000/busybox:latest  sh       48 seconds ago  Exited (0) 30 seconds ago          busybox-local

2. 执行命令，查看名为 busybox-local的容器日志。

$ podman logs busybox-local
/ # mkdir mydir1
/ # echo hello > ./mydir1/hello.txt
/ # exit

查看容器运行实时状态

$ podman stats --all
ID             NAME            CPU %   MEM USAGE / LIMIT   MEM %   NET IO        BLOCK IO   PIDS
e8193ad15aee   busybox-local   --      53.25kB / 2.096GB   0.00%   698B / 656B   -- / --    1

运行停止的容器

1. 在Terminal 1中执行命令，查看所有运行的容器，其中有刚刚运行并退出的“busybox-local”容器。此时该容器的环境还在，只不过没有运行。

$ podman ps -a
CONTAINER ID  IMAGE                                    COMMAND  CREATED         STATUS                      PORTS  NAMES
84625108be74  registry.domain.com:5000/busybox:latest  sh       48 seconds ago  Exited (0) 30 seconds ago          busybox-local

2. 在Terminal 1中再次执行以下命令，将报错，提示已经名为“busybox-local”的容器已经在本地存储中了。

$ podman run --name busybox-local -it ${REGISTRY_DOMAIN}:5000/busybox
Error: error creating container storage: the container name "busybox-local" is already in use by "84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686". You have to remove that container to be able to reuse that name.: that name is already in use

3. 在Terminal 1中执行命令，根据在本地已有的“busybox-local”容器重新运行。

$ podman start busybox-local
84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686

4. 在Terminal 1中执行命令，进入“busybox-local”容器内部，然后再次退出。

$ podman attach busybox-local
/ # exit

删除容器

1. 在Terminal 1中执行命令，查看所有运行的容器，其中有刚刚运行并退出的“busybox-local”容器。此时该容器的环境还在，只不过没有运行。

$ podman ps -a
CONTAINER ID  IMAGE                                    COMMAND  CREATED            STATUS                       PORTS  NAMES
84625108be74  registry.domain.com:5000/busybox:latest  sh       44 minutes ago     Exited (0) 7 minutes ago            busybox-local

2. 在Terminal 1中执行命令，删除busybox-local容器。

$ podman rm busybox-local
84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686

3. 或者在Terminal 1中执行以下命令，将所有不运行的容器全部删除，

$ podman container prune
84625108be74a36b64e24edec59483c5340d0f768d7355a3c64ec7660dd80686

4. 在Terminal 1中执行命令，已经找不到“hello.txt”了。

$ find / -name hello.txt

Podman运行环境管理

查看运行环境信息

$ podman system df
TYPE            TOTAL   ACTIVE   SIZE     RECLAIMABLE
Images          1       0        1.44MB   1.44MB (100%)
Containers      0       0        0B       0B (0%)
Local Volumes   1       0        0B       0B (0%)

删除所有不用的容器、镜像和本地存储卷

$ podman system prune --all --volumes

参考

https://fossies.org/linux/libpod/troubleshooting.md