红帽全球峰会4.16. 容器
Podman 支持拉取和推送 zstd 压缩的镜像
您可以拉取和推送使用 zstd 格式压缩的镜像。zstd 压缩比 gzip 效率更高,更快。它可以减少拉取和推送镜像所需的网络流量和存储量。
Jira:RHELPLAN-154313[1]
Podman 中的 Quadlet 现在可用
从 Podman v4.6 开始,您可以使用 Quadlet 从容器描述中自动生成一个 systemd 服务文件。Quadlets 可能比 podman generate systemd 命令更容易使用,因为描述侧重于相关的容器详情,且没有在 systemd 下运行容器的技术复杂性。请注意,Qadlets 仅适用于有根容器。
如需了解更多详细信息,请参阅 Quadlet 上游文档 和 使用 Quadlet 使 systemd 更好地用于 Podman 文章。
Jira:RHELPLAN-154431[1]
Container Tools 软件包已更新
现在提供更新的 Container Tools 软件包,其包括 Podman、Buildah、Skopeo、crun 和 runc 工具。与之前的版本相比,这个版本应用了一系列 bug 修复和增强。
Podman v4.6 中的显著变化包括:
-
podman kube play命令现在支持--configmap=<path>选项,来为 Kubernetes YAML 文件提供 pod 容器中使用的环境变量。 -
podman kube play命令现在支持--configmap选项的多个 Kubernetes YAML 文件。 -
podman kube play命令现在支持存活度探测中的 containerPort 名称和端口号。 -
podman kube play命令现在将 ctrName 作为别名添加到 pod 网络。 -
podman kube play和podman kube generate命令现在支持 SELinux 文件类型标签和 ulimit 注解。 -
添加了一个新命令
podman secret exists,它验证具有指定名称的 secret 是否存在。 -
podman create,podman run,podman pod create和podman pod clone命令现在支持一个新选项--shm-size-systemd,它允许限制特定于 systemd 挂载的 tmpfs 的大小。 -
podman create和 podman run 命令现在支持一个新选项--security-opt label=nested,它允许在受限容器中进行 SELinux 标记。 - Podman 现在支持对在 pod 内运行的容器进行自动更新。
-
Podman 现在可以使用 SQLite 数据库作为后端,来提高稳定性。默认保留 BoltDB 数据库。您可以通过在
containers.conf文件中设置database_backend字段来选择数据库。 -
Podman 现在支持 Quadlets 从容器描述中自动生成一个
systemd服务文件。该描述侧重于相关的容器详情,隐藏了在systemd下运行容器的技术复杂性。
有关显著变化的详情,请查看 上游发行注记。
Jira:RHELPLAN-154443[1]
Podman 现在支持 Podmansh 登录 shell
从 Podman v4.6 开始,您可以使用 Podmansh 登录 shell 管理用户访问权限和控制。要切换到 CGroups v2,请将 systemd.unified_cgroup_hierarchy=1 添加到内核命令行。配置用户的设置,以使用 /usr/bin/podmansh 命令作为登录 shell ,而不是标准的 shell 命令,例如 /usr/bin/bash。当用户登录到系统设置时,podmansh 命令在名为 podmansh 的 Podman 容器中运行用户的会话。用户登录的容器是使用 Quadlet 文件定义的,这些文件是在 /etc/containers/systemd/users/ 目录中创建的。在这些文件中,将 [Container] 部分中的 ContainerName 字段设置为 podmansh。当用户会话启动时,systemd 会自动启动 podmansh,并继续运行,直到所有用户会话退出为止。
如需更多信息,请参阅 Podman v4.6.0 引入了 Podmansh: 革命性的登录 Shell。
Jira:RHELPLAN-163002[1]
现在,可提供带有 Fulcio 和 Rekor 的 sigstore 签名的客户端
有了 Fulcio 和 Rekor 服务器,您现在可以根据 OpenID Connect (OIDC)服务器身份验证使用短期证书来创建签名,而不是手动管理私钥。以前作为技术预览提供的具有 Fulcio 和 Rekor 的 sigstore 签名的客户端现在完全支持。这个添加的功能只是客户端侧支持,不包括 Fulcio 或 Rekor 服务器。
在 policy.json 文件中添加 fulcio 部分。要签署容器镜像,请使用 podman push --sign-by-sigstore=file.yml 或 skopeo copy --sign-by-sigstore=file.yml 命令,其中 file.yml 是 sigstore 签名参数文件。
要验证签名,请在 policy.json 文件中添加 fulcio 部分和 rekorPublicKeyPath 或 rekorPublicKeyData 字段。如需更多信息,请参阅 containers-policy.json 手册页。
Jira:RHELPLAN-160659[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}