緣起：

很多人可能遇到過開機重啟時，由于Docker守護程序在占用多核CPU使用100%C使用的情況，導致所有容器都無法啟動，服務都不能用的情況。很悲催的是這事兒蟲蟲也遇到了，之前文章中蟲蟲介紹過利用Docker重構WP博客的新架構。由于VPS機器不是很穩定，時常會重啟，重啟時候就會遇到這個事情，VPS負載很高，容器都沒有起來，網站就無法訪問了。這時候只能殺掉所有容器并重啟守護進程，才能恢復。經過了解該問題是由于Docker守護進程引起，而且Docker守護進程是以root特權權限啟動的，是一個安全問題，那么有什么方法解決呢?

為什么Docker需要一個守護進程呢?

Podman，Skopeo和Buildah

這三個工具都是符合OCI計劃下的工具(github/containers)。主要是由RedHat推動的，他們配合可以完成Docker所有的功能，而且不需要守護程序或訪問有root權限的組，更加安全可靠，是下一代容器容器工具。

Podman

Podman可以替換Docker中了大多數子命令(RUN，PUSH，PULL等)。Podman不需要守護進程，而是使用用戶命名空間來模擬容器中的root，無需連接到具有root權限的套接字保證容器的體系安全。

Podman專注于維護和修改OCI鏡像的所有命令和功能，例如拉動和標記。它還允許我們創建，運行和維護從這些圖像創建的容器。

Buildah

Buildah用來構建OCI圖像。雖然Podman也可以用戶構建Docker鏡像，但是構建速度超慢，并且默認情況下使用vfs存儲驅動程序會耗盡大量磁盤空間。 buildah bud(使用Dockerfile構建)則會非?？?，并使用覆蓋存儲驅動程序。

Buildah專注于構建OCI鏡像。 Buildah的命令復制了Dockerfile中的所有命令?？梢允褂肈ockerfiles構建鏡像，并且不需要任何root權限。 Buildah的最終目標是提供更低級別的coreutils界面來構建圖像。Buildah也支持非Dockerfiles構建鏡像，可以允許將其他腳本語言集成到構建過程中。 Buildah遵循一個簡單的fork-exec模型，不以守護進程運行，但它基于golang中的綜合API，可以存儲到其他工具中。

Skopeo

Skopeo是一個工具，允許我們通過推，拉和復制鏡像來處理Docker和OC鏡像。

Podman和Buildah對比

Buildah構建容器，Podman運行容器，Skopeo傳輸容器鏡像。這些都是由Github容器組織維護的開源工具(github/containers)。這些工具都不需要運行守護進程，并且大多數情況下也不需要root訪問權限。

Podman和Buildah之間的一個主要區別是他們的容器概念。 Podman允許用戶創建"傳統容器"。雖然Buildah容器實際上只是為了允許將內容添加回容器圖像而創建的。一種簡單方法是buildah run命令模擬Dockerfile中的RUN命令，而podman run命令模擬功能中的docker run命令。

簡而言之，Buildah是創建OCI圖像的有效方式，而Podman允許我們使用熟悉的容器cli命令在生產環境中管理和維護這些圖像和容器。

容器遷移

安裝

基本上各大發行版都提供了二進制安裝包， 使用系統包管理就可以安裝：

Fedora, CentOS：sudo yum -y install podman  
Arch & Manjaro Linux： sudo pacman -S podman 

Ubuntu安裝：

sudo apt-get update -qq 
sudo apt-get install -qq -y software-properties-common uidmap 
sudo add-apt-repository -y ppa:projectatomic/ppa 
sudo apt-get update -qq 
sudo apt-get -qq -y install podman 

遷移步驟

首先，用podman替換了cron和CI作業中的所有docker實例。

完成后第一步后使用sysdig來捕獲對docker的引用，看看是否還有其他東西在調用docker：

sysdig | grep -w docker 

如果您對性能敏感，這可能會大大降低系統速度。

現在就可以刪除docker了：

sudo：yum remove docker 

或者

apt remove -y docker-ce 

清理配置文件：

刪除/etc/apt/*或者/etc/yum.repos.d/*中指向Docker的源

刪除/etc/docker/*，/etc/default/docker和/var/lib/ docker中的任何遺留文件

刪除docker組：delgroup docker

總結

使用Podman，Skopeo和Buildah的新一代容器架構后，可以解決由于docker守護程序導致的啟動和安全問題。使用新架構后除了"沒有守護進程"和"不需要sudo訪問"之外，沒有發現很多不同之處。構建的容器都位于用戶目錄下(~/.local/containers中)而不是全局的(在/var/lib/docker中)，即面向用戶而不是面向守護進程。與Docker相比，podman pull會并行下載獲取所有層。