Podman: Linux-Container einfach gemacht, Teil 2

Podman kann als root oder eben nicht ausgeführt werden: Das kommt nicht nur Benutzerfreundlichkeit und breiten Anwendungsmöglichkeiten, sondern auch der Sicherheit zugute.

Werkzeuge  –  5 Kommentare
Podman: Linux-Container einfach gemacht, Teil 2

(Bild: stock.xchng)

Nachdem der erste Teil der Artikelserie einen grundlegenden Überblick über Podman vermittelt hat, geht der zweite Teil auf verschiedene Sicherheitskonzepte von Podman und die Bausteine eines Containers ein. Praktische Beispiele sollen zeigen, wie sie in der Praxis Anwendung finden.

Das Podman-Logo (Bild: Podman)

Bausteine eines Containers: "Containers are Linux"

Oftmals verstehen Entwickler Container als einen Überbegriff für verschiedene Arten von Virtualisierungstechniken, die von Solaris Zones über virtuelle Maschinen wie Amazons Firecracker bis hin zu Windows-Containern reichen. In den meisten Fällen bezieht sich das Wort jedoch auf Linux-Container.

Im Grunde handelt es sich bei einem Linux-Container um eine Gruppe von Prozessen, die sich bestimmte Ressourcen teilen und in Beziehung zueinander stehen. Das klingt zunächst nach einem ganz normalen Linux-System und genau das möchte der viel verwendete Spruch "Containers are Linux" aussagen. Doch was unterscheidet einen Container nun von einem herkömmlichen Prozess eines Linux-Systems? Darauf gibt es viele Antworten, denn der Linux-Kern bietet eine Vielzahl von Mechanismen, um einen Container vom Rest des Systems zu isolieren, um Berechtigungen zu erteilen oder zu entziehen und um Ressourcen zuzuweisen, zu beschränken und zu multiplexen. Ähnlich wie einen Lego-Baukasten können Container-Tools wie Podman den Linux-Kern verwenden, um den Container den Wünschen und Anforderungen entsprechend zusammenzubauen. Der Rest des Artikels bietet nun einen Überblick über die wichtigsten Bausteine.