4.23. Conteneurs
Podman prend désormais en charge les noms courts sécurisés
Les alias de noms courts pour les images peuvent désormais être configurés dans le fichier registries.conf, dans la table [aliases]. Les modes de noms courts sont les suivants :
-
Mise en application : Si aucun alias correspondant n'est trouvé lors de l'extraction de l'image, Podman invite l'utilisateur à choisir l'un des registres de recherche non qualifiée. Si l'image sélectionnée est extraite avec succès, Podman enregistre automatiquement un nouvel alias de nom court dans le fichier
$HOME/.cache/containers/short-name-aliases.conf(utilisateur sans racine) et dans le fichier/var/cache/containers/short-name-aliases.conf(utilisateur racine). Si l'utilisateur ne peut pas être invité (par exemple, stdin ou stdout n'est pas un TTY), Podman échoue. Notez que le fichiershort-name-aliases.confa la priorité sur le fichierregistries.confsi les deux spécifient le même alias. - Permissif : Semblable au mode d'exécution, mais Podman n'échoue pas si l'utilisateur ne peut pas être invité à le faire. Au lieu de cela, Podman effectue une recherche dans tous les registres de recherche non qualifiés dans l'ordre donné. Notez qu'aucun alias n'est enregistré.
Exemple :
unqualified-search-registries=["registry.fedoraproject.org", "quay.io"] [aliases] "fedora"="registry.fedoraproject.org/fedora"
(JIRA:RHELPLAN-74542)
Changements dans le module container-tools
Le module container-tools contient les outils Podman, Buildah, Skopeo et runc. Le flux roulant, représenté par le flux container-tools:rhel8 dans RHEL 8, est nommé container-tools:latest dans RHEL 9. Comme dans RHEL 8, les versions stables des outils de conteneur seront disponibles dans des flux numérotés (par exemple, 3.0).
Pour plus d'informations sur le flux d'applications des outils de conteneurisation, voir Container Tools AppStream - Content Availability.
(JIRA:RHELPLAN-73678)
Le paquet containers-common est maintenant disponible
Le paquet containers-common a été ajouté au module container-tools:latest. Le paquet containers-common contient des fichiers de configuration communs et de la documentation pour l'écosystème des outils de conteneurs, tels que Podman, Buildah et Skopeo.
(JIRA:RHELPLAN-77549)
Mise à jour des images de conteneurs avec de nouveaux paquets
Par exemple, pour mettre à jour l'image du conteneur registry.access.redhat.com/rhel9 avec les derniers paquets, utilisez les commandes suivantes :
# podman run -it registry.access.redhat.com/rhel9 # dnf update -y && rm -rf /var/cache/dnf
Pour installer un élément particulier <package> entrer :
# dnf install <package>
Pour plus d'informations, voir Ajouter un logiciel à un conteneur UBI en cours d'exécution.
Notez que pour RHEL 9, la mise à jour ou l'installation de nouveaux paquets dans l'image nécessite que vous fonctionniez sur un hôte autorisé. Vous pouvez utiliser l'abonnement Red Hat Enterprise Linux Developer Subscription for Individuals pour accéder gratuitement aux référentiels autorisés.
Pour plus d'informations, voir Abonnement individuel gratuit pour développeur Red Hat Enterprise Linux : FAQ.
(JIRA:RHELPLAN-84168)
Le méta-paquet container-tools a été mis à jour
Le méta-paquet RPM container-tools, qui contient les outils Podman, Buildah, Skopeo et runc, est désormais disponible. Cette mise à jour fournit une liste de corrections de bogues et d'améliorations par rapport à la version précédente.
(JIRA:RHELPLAN-118914)
Le paquet podman-py est maintenant disponible
Le paquet podman-py a été ajouté au flux de modules stables container-tools:3.0 et au module container-tools:latest. Le paquet podman-py est une bibliothèque de liens permettant d'utiliser l'API RESTful de Podman.
La version 2 des groupes de contrôle est maintenant disponible
La version précédente des groupes de contrôle, cgroups version 1 (cgroups v1), entraînait des problèmes de performance avec diverses applications. La dernière version des groupes de contrôle, cgroups version 2 (cgroups v2), permet aux administrateurs système de limiter les ressources pour n'importe quelle application sans causer de problèmes de performance.
Cette nouvelle version des groupes de contrôle, cgroups v2, peut être activée dans RHEL 8 et l'est par défaut dans RHEL 9.
(JIRA:RHELPLAN-73697)
Le méta-paquet container-tools est maintenant disponible
Le méta-paquet RPM container-tools, qui comprend Podman, Buildah, Skopeo, CRIU, Udica et toutes les bibliothèques requises, est disponible dans RHEL 9. Les flux stables ne sont pas disponibles sur RHEL 9. Pour bénéficier d'un accès stable à Podman, Buildah, Skopeo et autres, utilisez l'abonnement RHEL EUS.
Pour installer le méta-paquet container-tools, entrez :
# dnf install container-tools
(BZ#2000871)
La prise en charge native des systèmes de fichiers superposés dans le noyau est désormais disponible
La prise en charge des systèmes de fichiers superposés est désormais disponible à partir du noyau 5.11. Les utilisateurs non rootés bénéficieront des performances natives du système de fichiers overlayfs même lorsqu'ils fonctionnent sans root (en tant qu'utilisateur). Ainsi, cette amélioration fournit de meilleures performances aux utilisateurs non root qui souhaitent utiliser overlayfs sans avoir besoin de bind mounting.
(JIRA:RHELPLAN-99892)
Le stockage NFS est maintenant disponible
Vous pouvez désormais utiliser le système de fichiers NFS comme support de stockage pour les conteneurs et les images si votre système de fichiers prend en charge les xattr.
(JIRA:RHELPLAN-74543)
Le méta-paquet container-tools a été mis à jour
Le méta-paquet container-tools comprend Podman, Buildah, Skopeo, CRIU, Udica et toutes les bibliothèques nécessaires. Cette mise à jour fournit une liste de corrections de bogues et d'améliorations par rapport à la version précédente.
Les changements les plus notables sont les suivants :
- En raison des changements apportés à la pile réseau, les conteneurs créés par Podman v3 et les versions antérieures ne sont pas utilisables dans Podman v4.0
- Le système de fichiers superposé natif est utilisable en tant qu'utilisateur sans racine
- Le stockage NFS est désormais pris en charge dans un conteneur
- Les groupes de contrôle version 2 (cgroup v2) sont activés par défaut
- La rétrogradation de Podman v4 vers Podman v3 n'est pas possible à moins que tous les conteneurs ne soient détruits et recréés
Pour plus d'informations sur les changements notables dans Podman, voir les notes de version en amont.
(JIRA:RHELPLAN-99889)
Le conteneur d'exécution crun est maintenant utilisé par défaut
L'exécution du conteneur crun est désormais l'exécution par défaut. L'exécution du conteneur crun prend en charge une annotation qui permet au conteneur d'accéder aux groupes supplémentaires de l'utilisateur sans racine. Ceci est utile pour le montage de volumes dans un répertoire où setgid est défini, ou lorsque l'utilisateur n'a qu'un accès de groupe. Les moteurs d'exécution crun et runc supportent entièrement cgroup v2.
(JIRA:RHELPLAN-99890)
La version 2 du groupe de contrôle est maintenant disponible
La version précédente des groupes de contrôle, cgroup version 1 (cgroup v1), entraînait des problèmes de performance avec diverses applications. La dernière version des groupes de contrôle, cgroup version 2 (cgroup v2), permet aux administrateurs système de limiter les ressources pour n'importe quelle application sans causer de problèmes de performance.
Dans RHEL 9, cgroup v2 est activé par défaut.
(JIRA:RHELPLAN-75322)
Les images de base universelles sont désormais disponibles sur Docker Hub
Auparavant, les images de base universelles n'étaient disponibles qu'à partir du catalogue de conteneurs Red Hat. Avec cette amélioration, les images de base universelles sont également disponibles à partir de Docker Hub en tant qu'image Verified Publisher.
(JIRA:RHELPLAN-100032)
L'image du conteneur openssl est maintenant disponible
L'image openssl fournit un outil de ligne de commande openssl permettant d'utiliser les différentes fonctions de la bibliothèque cryptographique OpenSSL. La bibliothèque OpenSSL permet de générer des clés privées, de créer des demandes de signature de certificat (CSR) et d'afficher des informations sur les certificats.
L'image du conteneur openssl est disponible dans ces dépôts :
- registry.redhat.io/rhel9/openssl
- registry.access.redhat.com/ubi9/openssl
(JIRA:RHELPLAN-100034)
La pile réseau Netavark est désormais disponible
La pile Netavark est un outil de configuration réseau pour les conteneurs. Dans RHEL 9, la pile Netavark est entièrement prise en charge et activée par défaut.
Cette pile de réseau possède les capacités suivantes :
- Création, gestion et suppression d'interfaces réseau, y compris les interfaces de pont et MACVLAN
- Configuration des paramètres du pare-feu, tels que la traduction d'adresses réseau (NAT) et les règles de mappage des ports
- IPv4 et IPv6
- Capacité améliorée pour les conteneurs dans plusieurs réseaux
(JIRA:RHELPLAN-101141)
Podman supporte maintenant l'auto-construction et l'auto-exécution de pods à l'aide d'un fichier YAML
La commande podman play kube construit et exécute automatiquement plusieurs pods avec plusieurs conteneurs dans les pods à l'aide d'un fichier YAML.
(JIRA:RHELPLAN-108830)
Podman a désormais la possibilité de trouver des plages de subUID et de subGID à partir d'IdM
Les plages de sous-UID et de sous-GID peuvent désormais être gérées par IdM. Au lieu de déployer les mêmes fichiers /etc/subuid et /etc/subgid sur chaque hôte, vous pouvez maintenant définir les plages dans un seul stockage central. Vous devez modifier le fichier /etc/nsswitch.conf et ajouter sss à la ligne services map : services: files sss.
Pour plus de détails, voir la section sur la gestion manuelle des plages de sous-ID dans la documentation IdM.
(JIRA:RHELPLAN-100020)
