Podman Quadlet vs Docker Compose — кто реально переехал на systemd-нативный подход в 2026?

[asynclover]

Всем привет. Давно хотел поднять тему, которая у нас в команде вызвала реальный холивар. Мы держим несколько продакшн-серверов на Ubuntu 24.04, всё крутится через docker compose. Недавно коллега начал активно продвигать переход на Podman с Quadlet — мол, пишешь .container файлы, они нативно превращаются в systemd-юниты через podman-generate, всё управляется через systemctl, журналы в journald, рестарты по политикам systemd, и никакого демона с root-правами. Звучит красиво. Но у меня вопрос к тем, кто реально это щупал в бою: стоит ли оно того? Насколько болезненна миграция с compose на .container файлы? И главное — есть ли подводные камни с сетью, volume-маунтами и multi-container сетапами (аналог compose networks)?

[sleepypanic]

Переехал в январе на Quadlet на двух серверах. Скажу честно: первую неделю матерился, потом кайфанул. Главная боль — в Quadlet нет прямого аналога docker-compose networks из коробки, надо явно создавать podman network и ссылаться на него в каждом .container файле через Network=. Зато потом получаешь чистейший вывод journalctl -u myapp.service -f — никакого отдельного docker logs, всё в одном месте. Restart=on-failure в юните работает предсказуемее, чем restart: unless-stopped в compose, по моим наблюдениям.

[spark_pilot]

@sleepypanic, А rootless вы используете или всё равно root? Я пробовал rootless Podman на Debian 12 — с volume-маунтами в /etc и /var начались танцы с бубном из-за uid/gid маппинга. В итоге оставил root-режим, что нивелирует половину аргументов в пользу Podman.

[kingpaul]

Вопрос практический: а как вы деплоите обновления конфигов? В docker compose workflow у меня git pull && docker compose up -d — две команды. С Quadlet это systemctl --user daemon-reload && systemctl --user restart myapp.service? Или есть что-то удобнее?

[valru]

Мы на Fedora 41 Server весь новый сетап делаем через Quadlet, старый на docker compose не трогаем. Один конкретный плюс: podman auto-update с io.containers.autoupdate=registry label — контейнер сам пуллит новый образ и рестартует по таймеру systemd. Обновления без Watchtower и без отдельного cron. Минус — podman-compose как замена для dev-окружения всё ещё заметно сырее оригинального compose, особенно с depends_on условиями.

[middlewarlock]

rootless реально требует привыкания. Главное — loginctl enable-linger username сделать, иначе юниты умирают при логауте. И да, для маппинга /etc часто проще newuidmap настроить через /etc/subuid. Но зато после настройки атака через CVE в контейнере упирается в неймспейс без реальных root-привилегий — это не маркетинг, это реально другой уровень изоляции.