兄弟萌 docker 和 padman 哪个更好呢

当年 win10 刚出的时候，你升级了吗？
升的话就选 podman ，否则用 docker

不是你想用什么的问题，而是 docker 只能用守护进程+root ，这个对很多看重安全的公司来讲是不能被接受的，我们今年已经开始切 podman 了，这两天正在踩坑

工具而已，喜欢哪个用哪个

看需求吧.
我们公司:
dev 虚拟机里装 podman
正式服务器, 之前的用的 Docker, 新增的用 Podman.
自己打包的用 podman. 拉取仓库的用 Docker.(因为之前用 podman 拉取仓库时配置镜像后有的一直拉不下来)

新项目的话，建议从 podman 开始了

@haonse 我觉得“这类”公司都是 sb 啊
他们普通用户的权限不还是 root 降级而得到的么
有种把内核也降到非 root 啊

没有上 k8s 的本菜鸡连 podman container 的开机自启都没搞定，手动必成功，走 systemctl start 必 125 ，搜解决方案，全试了都没用😓如果你跟我一样不熟悉这方面，还是 docker 吧

歪个楼，既然 Podman 可以不使用守护进程和 root 权限运行，那 docker 应该也可以做到吧？
让选择困难症的人头大。

windows 上 podman 占资源多吗

padman -> podman

@julyclyde 他说的是容器相关的组件不以 root 运行吧~可以一定程度上防止 docker 逃逸

@q1angch0u #11 真有逃逸那个技术，普通用户提权对人家也不是难事吧。

@haonse docker 已经不需要在 root 下运行了。

dockerd-rootless-setuptool.sh install

rootless 还限制了特定安全端口使用，但可以修改限制。

@u823tg #12 不能因为一锤子能敲开锁，就不给门上锁了。
→_→Ubuntu 上用 Snap 安装 Docker ，逃出 Docker 后发现在 Snap 的沙盒里~

@cev2 #14 说的是 root 用户运行。 感觉真会逃逸技术了普通用户和 root 没啥区别。 那么多人研究 linux 提权的。 单纯普通用户防止自己人犯错还是有必要

@julyclyde 我感觉是因为这些公司不能完全审查私有部署的服务(或者没有这个能力)，所以就一刀切了，同行也有让用 docker 的，咱不过是挣钱的，就当是带薪学习了

@abersheeran 使用 podman generate systemd 来搞，就是普通用户，启动，完全没问题。

@cev2 外面还可以套一个虚拟机，虚拟机里跑 ubuntu

没太大区别，就一个权限问题，你有 root 权限吗，你能熟练操作 root 账号吗，能？那就是 docker

@u823tg 逃逸肯定要比提权简单啊……比如 docker.sock 挂进容器，就可以 run --privilege 一个 root 容器了，内核提权需要搞 kernel 的漏洞……