Podman 6.0 已发布,作为开源容器引擎的重大更新,带来了安全修复、新的 Podman Machine 和 Quadlet 功能、AMD GPU 支持,以及一系列破坏兼容性的更改,从堆栈中移除了几个旧技术。
Podman 6.0 最重要的改进在于清理了对旧版功能的支持。从这个版本开始,Podman 不再支持 cgroups v1 系统;用户必须迁移到 cgroups v2。此外,对 iptables 的支持也被移除,现在必须使用 nftables。
在网络协议栈中,CNI 支持已被移除,用户需改用 Netavark。同样,slirp4netns 无根网络协议栈也已被移除,Pasta 取而代之。
此版本还取消了对在 Intel Mac 和 Windows 10 上运行 Podman 的支持。另一个值得注意的改动是移除了对 BoltDB 的支持。当 Podman 6 在仍然使用 BoltDB 数据库的系统上启动时,它会自动尝试将数据库迁移到 SQLite。
由于存在重大变更,Podman 6.0 必须与 Buildah 1.44、Skopeo 1.23、Netavark 和 Aardvark 2.0 以及 container-libs common/v0.68 版本中的配置文件一起使用。此外,由于项目迁移到 CNCF 拥有的 GitHub 组织,Podman 的导入路径也已github.com/containers/podman/v5更改go.podman.io/podman/v6。
此外,行为上也有一些变化。网络隔离现在默认启用,从而提高了 Docker 的兼容性和安全性。该podman commit命令现在会在提交更改时暂停容器,从而降低操作期间并发修改的风险。之前的行为仍然可以通过以下方式恢复--pause=false:
在 Podman 卷处理方面,该podman volume prune命令现在默认只删除未使用的匿名卷,与 Docker 的行为保持一致。如果用户希望恢复之前删除所有未使用卷的行为,则必须传递新的--all选项。此外,还新增了一个 --dry-run选项,允许用户在删除卷之前查看哪些卷将被删除。
此外,所有podman machine命令现在都可以在任何提供商的虚拟机上运行,而无需考虑已配置的提供商。新增的podman machine os update命令可以更新 Podman Machine 虚拟机内部的操作系统,但该命令目前不支持 WSL 提供商。
此外,Podman Machine 现在可以使用新选项将主机系统的受信任 CA 证书导入到 Linux、macOS 和 Windows 上的虚拟机中--import-native-ca。
在 Linux 系统上,Podman Machine 虚拟机现在使用 systemd 挂载主机卷。此更改会破坏现有 Linux Podman Machine 虚拟机上的卷挂载,因此必须重新创建这些虚拟机。在 macOS 系统上,默认的 Podman Machine 提供程序已更改为libkrun.
用于自动化和简化以 systemd 服务方式运行容器的工具 Quadlet 也迎来了多项更新。podman quadlet现在,该命令会将 Quadlet 及其关联文件放置在子目录中,而不是通过.app文件进行跟踪。
此外,该版本还增加了UID=对单位的支持GID=,并引入了新的搜索路径,以帮助发行版更轻松地打包和分发 Quadlets。Options=.volume
对于容器工作负载,Podman 6.0 为 `podman.config.json`和 `podman.config.json`--gpus选项添加了对 AMD GPU 的兼容性支持。容器现在还可以通过多次传递 `–static-ip`选项来使用多个静态 IP 地址。此外,该命令还可以创建黑洞路由、不可达路由和禁止路由,允许管理员阻止容器访问特定网络。podman createpodman runip=--netpodman network create
其他较小的新增功能包括:新增一个--no-session选项,可podman exec通过禁用 API 会话跟踪和数据库操作来提高性能;新增 Repository 和 Tag 字段;podman image list --format json通过该选项进行自定义 TLS 调优--tls-details;在 podman info 中报告 CDI 设备;以及新增工件生命周期事件。
更多详情请参阅更新日志。最后再次强调:Podman 6.0 是一个重要的现代化版本。因此,仍然依赖 CNI、slirp4netns、iptables、cgroups v1、BoltDB、Windows 10 或 Intel Mac 支持的系统在升级前必须考虑移除这些组件。
