Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Podman_CRI-O_update_2022-08

orimanabu
August 20, 2022
Technology
1
780

 Podman_CRI-O_update_2022-08

Container Runtime Meetup #4のLT資料です

orimanabu

August 20, 2022
Tweet

More Decks by orimanabu

See All by orimanabu
OpenShift.Run-2024-Medik8s
orimanabu
1
460
Podman_CRI-O_update_2024-02
orimanabu
4
1k
Podman_update_2023-11
orimanabu
2
500
OVN-Kubernetes-Introduction-ja-2023-01-27.pdf
orimanabu
2
1.4k
skupper-introduction
orimanabu
0
480
OpenShift.Run-2022-makaizo
orimanabu
1
1.1k
CRI-O Introduction
orimanabu
5
5.2k
Submariner-RHTN-20210114.pdf
orimanabu
0
350
Submariner-ONIC2020-ja
orimanabu
3
250

Other Decks in Technology

See All in Technology
「手動オペレーションに定評がある」と言われた私が心がけていること / phpcon_odawara2024
blue_goheimochi
2
320
0→1開発における技術選定において一番大切なこと
bicstone
1
320
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
1
190
TransitGatewayの基礎
toru_kubota
0
230
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
650
シン・Kafka / shin-kafka
oracle4engineer
PRO
7
2.7k
"好き"との生活/Regularly update profile with GitHub Actions
judeeeee
0
150
社内勉強会運営のコツ
senoo
6
1.1k
コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える / Scalable and Secure Infrastructure as Code Pipeline for a Compound Startup
yuyatakeyama
3
2.1k
PHP"オレ"カンファレンスの告知
ysknsid25
0
360
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
110
反実仮想機械学習とは何か
usaito
PRO
6
1.9k

Featured

See All Featured
Product Roadmaps are Hard
iamctodd
43
9.7k
The Invisible Side of Design
smashingmag
294
49k
Building a Scalable Design System with Sketch
lauravandoore
455
32k
Statistics for Hackers
jakevdp
789
220k
Designing for humans not robots
tammielis
247
25k
Art, The Web, and Tiny UX
lynnandtonic
288
19k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
115
18k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
76
41k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
15
1.4k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k

Transcript

  1. 1 Podman/CRI-O 最新情報(2022年夏) 2022-08-20 Manabu Ori Container Runtime Meetup #4

    v1.1

  2. 自己紹介 2 ▸ 名前: 織 学 (@orimanabu) ▸ 所属: Red

    Hat ▸ 仕事: OpenStack、OpenShiftのコンサルティング

  3. PodmanとCRI-O 3 ▸ Podman: コンテナエンジン/CLIツール、Docker Engineと同じ位置付け ▸ CRI-O: (Kubeletと連携する)ハイレベルコンテナランタイム、containerdと同じ位置付け ▸

    CRI, OCI specに準拠したコンテナを管理するツール ・ Red Hatが開発を主導 ・ RHEL7はdockerを同梱 (ただしdocker v1.13まで) ・ RHEL8, RHEL9はpodmanを同梱 (dockerは含まれない) ・ OpenShiftはv4からdockerではなくCRI-Oを使用 ▸ Podman, CRI-Oと一緒によく使われるツール ・ skopeo: コンテナレジストリとのやり取り (push, pull, inspect, mirror, ...) ・ buildah: コンテナイメージのビルド 参考文献: https://speakerdeck.com/orimanabu/cri-o-introduction?slide=24

  4. PodmanとCRI-O 4 ▸ 処理の多くの部分をライブラリとして共有しているが、PodmanがCRI-Oを使ってコンテナを起動し ているわけではない ・ Dockerとcontainerdの関係とは異なる ▸ 共通部分 ・

    コンテナレジストリとのやり取り、イメージの署名等 (containers/image) ・ コンテナイメージをファイルシステム上でレイヤー化する処理 (containers/storage) ・ コンテナプロセスのsub reaper (docker-containerd-shimに相当) (containers/conmon) ・ その他 (containers/common) Docker containerd Podman CRI-O

  5. 5 Podman update

  6. 最近のPodman (1) 6 ▸ メジャーバージョンがv4に上がりました! ▸ v4.0 ・ ネットワークスタックを書き換えて、複数ネットワーク対応、パフォーマンス改善、IPv6対 応の改善等を実現

    ・ 従来はk8sのCNIプラグインを使用 ・ 新たに Netavark + Aardvark-DNS を開発 ・ シングルノードで利用するPodmanのユースケースが、k8sクラスタで使用する CNIの立ち位置からずれてきた ・ Podman特有の名前解決の課題に対応したい ・ macOS, Windowsサポートの改善 ・ VM上のPodmanのAPIソケットをホストOS上から利用できるようにし、ホスト上で Docker Compose等が直接実行できるようになった ・ WindowsはWSL2を利用

  7. 最近のPodman (2) 7 ▸ v4.1 ・ macOS, Windowsサポートの改善 ・ ホストOS上のホームディレクトリをPodman

    VMに自動でマウント ・ Podman VMのCPU、メモリ、 ディスクのスペックの変更 ・ Docker Compose v2.2のサポート ・ ただしBuildKit APIは未サポート ・ Checkpoint/Restore ・ バイナリサイズを15%削減 ▸ v4.2 ・ Podman Desktopが爆誕 (https://podman-desktop.io/) ・ Gitlab Runnerのサポート ・ Docker daemon API v1.41 ・ macOSのpkginstaller

  8. 今後のPodman? 8 ▸ FreeBSDサポート ・ runj (jail based OCI runtime)

    を使用 ・ buildahは既にFreeBSDで動いている ・ https://lists.podman.io/archives/list/[email protected]/thread/FPOFK4AZ GJQQCWU4ZKN6HYMBXVKHQLMB/ ▸ Infra container rework ▸ `podman run krun` ・ https://github.com/containers/libkrun ▸ Wasm support? ・ 低レベルランタイムcrunでwasmサポートが入っている ・ wasm: adds support to natively build and run wasm workload and wasm containers #742 https://github.com/containers/crun/pull/742 ※ 個人の見解です (妄想含む)

  9. 9 CRI-O update

  10. 最近のCRI-O (1) 10 ▸ Unixソケット経由のpprofプロファイリング ・ https://github.com/cri-o/cri-o/pull/4514 ▸ annotation追加 ・

    io.kubernetes.cri-o.userns-mode: user namespace ・ io.kubernetes.cri-o.Devices: Podに見せるデバイスファイルを制限 ・ io.kubernetes.cri-o.ShmSize: /dev/shmサイズ ・ io.kubernetes.cri-o.UnifiedCgroup.$CTR_NAME: cgroups v2のunified block ・ io.containers.trace-syscall: syscallのトレースをOCI seccomp BPF hook経由で取る ・ https://github.com/containers/oci-seccomp-bpf-hook ・ cpu-load-balancing.crio.io: Podに割り当てたCPUコアのロードバランスするか ・ irq-load-balancing.crio.io: Podに割り当てたCPUコアでIRQ処理をするか ・ cpu-c-states.crio.io: CPU C-State設定 https://github.com/cri-o/cri-o/pull/5927

  11. 最近のCRI-O (2) 11 ▸ metrics強化 ・ OOM回数とか、pullしたレイヤーの数とか、pullをスキップしたサイズとか、レイヤーを再 利用した数とか ▸ User

    Namespace ・ “io.kubernetes.cri-o.userns-mode” annotation ・ KEP: Add support for user namespaces #127 ・ Blog: blog: Add blogpost for user namespaces in 1.25 #35483 ▸ Seccomp profile設定のデフォルト化 ・ KEP: Add KEP for enabling seccomp by default #2414 ・ Blog: Enable seccomp for all workloads with a new v1.22 alpha feature ▸ インフラコンテナのデフォルトで廃止

  12. 最近のCRI-O (3) 12 ▸ conmon-rs (conmonをRustで再実装) ▸ sigstore/cosign対応 ▸ runtime

    classを使った複数ストレージのサポート ・ https://github.com/cri-o/cri-o/pull/5624

  13. linkedin.com/company/red-hat youtube.com/user/RedHatVideos facebook.com/redhatinc twitter.com/RedHat 13 Red Hat is the world’s

    leading provider of enterprise open source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you

  14. 14 Podman on Windowsイ ンストール

  15. Podman on Windows 15 ▸ リリースバイナリのダウンロードして実行 ・ https://github.com/containers/podman/releases

  16. Podman on Windows 16 ▸ ターミナルから `podman machine init` を実行

    ・ WSLをセットアップし、再起動してくれる なんか文字化けがしたりしてますが ...

  17. Podman on Windows 17 ▸ WSL2のLinuxカーネル更新プログラムパッケージをインストール

  18. Podman on Windows 18 ▸ WSL2の更新後、再度 `podman machine init` を実行し直すとインストール完了

  19. Podman on Windows 19 ▸ `podman machine start` を実行して仮想マシンを起動したら、準備完了

  20. 20 ▸

  21. 21 Podman on macOS インストール

  22. Podman on macOS 22 ▸ セットアップ手順 ・ `brew install podman`

    ・ `sudo podman-mac-helper install` ・ `podman machine init` ・ `podman machine start` ▸ あとは普通に `podman build` とか `podman run` とかするだけ % podman machine start Starting machine "podman-machine-default" Waiting for VM ... Mounting volume... /Users/ec2-user:/Users/ec2-user Error: exit status 255 ▸ なのですが、もし下記のようなエラーになった場合は... % env -u SSH_AUTH_SOCK podman machine start ▸ 一旦 `podman machine stop` してから、下記のように環境変数SSH_AUTH_SOCKを外し てstartを実行してみてください

  23. Podman on macOS 23 ▸ 一旦 `podman machine stop` してから、下記のように環境変数SSH_AUTH_SOCKを外し

    てstartを実行してみてください % env -u SSH_AUTH_SOCK podman machine start Starting machine "podman-machine-default" Waiting for VM ... Mounting volume... /Users/ec2-user:/Users/ec2-user This machine is currently configured in rootless mode. If your containers require root permissions (e.g. ports < 1024), or if you run into compatibility issues with non-podman clients, you can switch using the following command: podman machine set --rootful API forwarding listening on: /Users/ec2-user/.local/share/containers/podman/machine/podman-machine-default/podman.sock The system helper service is not installed; the default Docker API socket address can't be used by podman. If you would like to install it run the following commands: sudo /opt/homebrew/Cellar/podman/4.2.0/bin/podman-mac-helper install podman machine stop; podman machine start You can still connect Docker API clients by setting DOCKER_HOST using the following command in your terminal session: export DOCKER_HOST='unix:///Users/ec2-user/.local/share/containers/podman/machine/podman-machine-default/podman.sock' Machine "podman-machine-default" started successfully

  24. podman-mac-helper (1) 24 ▸ `brew install podman` すると、podman-mac-helperというコマンドもインストールされます ▸ `sudo

    podman-mac-helper install` を実行すると... ・ /Library/LaunchDaemonsにファイルを作って、launchdサービスを起動します ・ 必要に応じてsockファイルのシンボリックリンクをいい感じに張ってくれる → 環境変数DOCKER_HOSTを設定しなくてもよくなる ▸ `podman-mac-helper install` を実行してから `podman machine start` することをお勧め します

  25. podman-mac-helper (2) 25 % cat /Library/LaunchDaemons/com.github.containers.podman.helper-ec2-user.plist <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE

    plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>com.github.containers.podman.helper-ec2-user</string> <key>ProgramArguments</key> <array> <string>/usr/local/podman/helper/ec2-user/podman-mac-helper</string> <string>service</string> <string>/Users/ec2-user/.local/share/containers/podman/machine/podman.sock</string> </array> <key>inetdCompatibility</key> <dict> <key>Wait</key> <false/> </dict> <key>UserName</key> <string>root</string> <key>Sockets</key> <dict> <key>Listeners</key> <dict> <key>SockFamily</key> <string>Unix</string> <key>SockPathName</key> <string>/private/var/run/podman-helper-ec2-user.socket</string> <key>SockPathOwner</key> <integer>501</integer> <key>SockPathMode</key> <!-- SockPathMode takes base 10 (384 = 0600) --> <integer>384</integer> <key>SockType</key> <string>stream</string> </dict> </dict> </dict> </plist>

  26. podman-mac-helper があるとき 26 ▸ `podman-mac-helper install` してから `podman machine start`

    すると... % sudo podman-mac-helper install % env -u SSH_AUTH_SOCK podman machine start Starting machine "podman-machine-default" Waiting for VM ... Mounting volume... /Users/ec2-user:/Users/ec2-user This machine is currently configured in rootless mode. If your containers require root permissions (e.g. ports < 1024), or if you run into compatibility issues with non-podman clients, you can switch using the following command: podman machine set --rootful API forwarding listening on: /var/run/docker.sock Docker API clients default to this address. You do not need to set DOCKER_HOST. Machine "podman-machine-default" started successfully

  27. podman-mac-helper がないとき 27 ▸ `podman-mac-helper install` せずに `podman machine start`

    すると... % env -u SSH_AUTH_SOCK podman machine start Starting machine "podman-machine-default" Waiting for VM ... Mounting volume... /Users/ec2-user:/Users/ec2-user This machine is currently configured in rootless mode. If your containers require root permissions (e.g. ports < 1024), or if you run into compatibility issues with non-podman clients, you can switch using the following command: podman machine set --rootful API forwarding listening on: /Users/ec2-user/.local/share/containers/podman/machine/podman-machine-default/podman.sock The system helper service is not installed; the default Docker API socket address can't be used by podman. If you would like to install it run the following commands: sudo /opt/homebrew/Cellar/podman/4.2.0/bin/podman-mac-helper install podman machine stop; podman machine start You can still connect Docker API clients by setting DOCKER_HOST using the following command in your terminal session: export DOCKER_HOST='unix:///Users/ec2-user/.local/share/containers/podman/machine/podman-machine-default/podman.sock' Machine "podman-machine-default" started successfully

  28. 28 ▸

  29. 29 Docker Compose v2を Podmanと一緒に使う

  30. docker compose v2 30 ▸ 準備 ・ https://github.com/docker/compose/releases から適当なバイナリをダウンロードして くる

    ・ Podmanな環境にはdockerコマンドはたぶん入ってないと思うので... ▸ あとはcompose.yamlを書いてupすればそれなりに動く ・ (昔のように)環境変数DOCKER_HOSTを設定したりといった準備は、今は必要ないです

  31. 31 ▸

  32. 32 ▸