Podman на офшорном VPS: rootless контейнеры без Docker daemon

Podman развивается Red Hat как альтернатива Docker daemon. Главные отличия:

• Daemonless архитектура: Podman не требует постоянно работающего фонового процесса. Каждая команда podman запускает новый процесс, который сам управляет контейнерами через runc/crun.
• Rootless по умолчанию: Podman работает от непривилегированного пользователя через user namespaces, в Docker rootless поддерживается, но не дефолт.
• Docker CLI совместимость: alias docker=podman работает в 95% случаев. Dockerfile поддерживается полностью.
• Pods как первый класс: группы контейнеров с общим network и storage, аналог Kubernetes Pod в локальной разработке.
• Systemd интеграция: podman generate systemd создаёт unit файлы, контейнеры стартуют как обычные сервисы.
• Security: отсутствие daemon снижает поверхность атаки. Уязвимости в daemon Docker исторически приводили к escape attack.

Self-hosted Podman на офшорном VPS Anubiz Host даёт команде безопасный rootless контейнерный runtime с полной совместимостью с Docker экосистемой. Идеально для production серверов, где security важнее экосистемы Docker Hub.

Podman легче Docker по ресурсам, поскольку нет постоянно работающего daemon. Минимальные требования зависят от workload:

• Минимум для тестовой инсталляции: 1 vCPU, 1 ГБ RAM, 40 ГБ NVMe. План VPS S от $7/мес. 1-2 простых контейнера.
• Production сервер 5-10 контейнеров: 2 vCPU, 4 ГБ RAM, 80 ГБ NVMe. План VPS M от $12/мес.
• Большая инсталляция 20+ контейнеров: 4 vCPU, 8 ГБ RAM, 160 ГБ NVMe. План VPS L от $20/мес.
• Хранилище образов: минимум 40 ГБ под ~/.local/share/containers/storage. Образы могут быстро накапливаться.
• subuid и subgid: для rootless режима нужны диапазоны UID/GID, прописываем в /etc/subuid и /etc/subgid.

Anubiz Host выделяет KVM VPS с гарантированным CPU и NVMe. Открытые порты позволяют контейнерам Podman работать с внешним миром без NAT. Полный root для начальной настройки subuid/subgid, после чего работаем от непривилегированного пользователя.

Podman rootless значительно безопаснее Docker daemon, но требует понимания особенностей user namespaces. Базовый чеклист для VPS Anubiz Host:

• Запуск от непривилегированного пользователя: создаём пользователя podman-user без sudo прав, добавляем subuid/subgid диапазоны.
• SELinux или AppArmor: Podman нативно работает с SELinux, контейнеры получают изолированный контекст.
• Network namespace per pod: по умолчанию контейнеры в одном pod видят друг друга по localhost, между pod изолированы.
• Read-only root filesystem: podman run --read-only сильно ограничивает возможности эксплойтов.
• Capability dropping: --cap-drop=ALL --cap-add=NET_BIND_SERVICE даёт контейнеру минимальные права.
• Image signing: podman pull с подписью cosign проверяет origin образа перед запуском.
• Systemd integration: podman generate systemd --new создаёт unit файлы, удобно для restart policy и logging.
• Auto-update через podman auto-update: обновление образов с rollback при failed health check.
• Backup volumes: podman volume export для каждого важного volume, шифруем gpg и выгружаем на офшорное S3.

Anubiz Host не имеет доступа к данным внутри контейнеров клиента и не хранит логи podman команд. Юрисдикция Исландии и оплата криптой дают команде максимальную приватность контейнерной инфраструктуры.