Кто реально перешёл с Docker на Podman в проде и не пожалел?

[lev_loop]

RHEL уже давно толкает Podman вместо Docker, rootless, без демона, всё красиво на бумаге. Думаю переводить продакшн-хосты. Кто сидит на Podman в бою, какие подводные камни всплыли?

[lera_cache57]

Сидим год. Rootless и отсутствие демона это реально плюс по безопасности, один большой root-процесс больше не точка отказа. Но будь готов что docker-compose не работает нативно, надо podman-compose или переезжать на quadlet с systemd.

[olga_tcp]

Quadlet это лучшее что случилось с Podman. Описываешь контейнер как systemd-юнит, и он управляется штатными средствами: автостарт, рестарты, логи в journald. После compose непривычно, но в проде ощущается надёжнее.

[ksenia_dns]

А с сетью между контейнерами проблем не было? Слышал что netavark иногда чудит по сравнению с docker bridge.

[reactnet2320]

С netavark всё стабильно на свежих версиях, старый cni уже выпилили. Главный затык был с volumes и правами в rootless режиме, маппинг uid/gid через userns поначалу выносит мозг. Закладывай время на разбирательство с правами.

[valera6777]

Ради чего всё и затевается: rootless контейнер с эскейпом не даёт атакующему root на хосте, в отличие от классического докера с его демоном под рутом. Для security-чувствительных нагрузок это весомый аргумент за переход.

[anna_ops79]

А для локальной разработки стоит заморачиваться или это чисто прод-история? У меня просто пара контейнеров для фронта поднять.

[bitbyte5371]

Для локалки можешь спокойно оставаться на Docker Desktop или OrbStack, разница тебя не коснётся. Podman раскрывается именно на серверах где важна безопасность и интеграция с systemd. Для двух контейнеров фронтенда это лишние телодвижения.

[ivan_omega30]

Перевели примерно 40 продакшн-хостов с Docker 24 на Podman 4.9 год назад, RHEL 9.3. Самый неочевидный подводный: podman-compose не дропзаменитель docker-compose. Если у вас compose-файлы с depends_on + healthcheck, часть условий игнорируется или ведёт себя иначе. Мы переехали на Quadlet (systemd-юниты, которые Podman генерирует из .container-файлов) — это на порядок надёжнее для чего-то production-grade, чем compose.

[rodion_root]

Конкретная боль которую не ждали: логи. В Docker journald-драйвер опциональный, а в Podman контейнеры по умолчанию пишут в journald. При высоком throughput логов journald начинал дросселировать и мы теряли строки. Пришлось прописать Storage=persistent и RateLimitIntervalSec=0 в journald.conf. Второй момент — rootless Podman и открытие портов ниже 1024: нужно или net.ipv4.ip_unprivileged_port_start=80 в sysctl, или через setcap cap_net_bind_service. Без этого сервисы на 80/443 просто не стартуют, и ты час чешешь затылок.