Rootless Docker vs Rootless Podman: сравнение на практике для админов

Зачем вообще нужен rootless и что он реально даёт

Rootless-режим — это способ запускать контейнеры без привилегий root на хосте: и управляющие процессы, и сами контейнеры стартуют от обычного пользователя. В админской практике это закрывает две частые потребности: уменьшить последствия компрометации приложения в контейнере и дать разработчикам/CI возможность запускать контейнеры без доступа администратора.

Важно помнить границы модели. Rootless не превращает контейнер в «виртуалку с железобетонной изоляцией», но заметно снижает класс рисков, связанных с тем, что контейнерный рантайм или управляющие компоненты имеют root-права на хосте. Цена — ограничения по сетям, монтированию, ресурсным лимитам и иногда по совместимости с привычными сценариями Docker/Compose.

Rootless — не кнопка «сделать безопасно», а конкретная сделка: меньше привилегий на хосте в обмен на больше нюансов в сети, storage и лимитах.

Архитектура: в чём фундаментальная разница rootless Docker и rootless Podman

Rootless Docker: привычный Docker, но демон в user namespace

Docker исторически построен вокруг демона dockerd, который управляет контейнерами. В rootless-режиме Docker запускает демон от обычного пользователя в user namespace и пытается сохранить привычный опыт: docker run, docker compose, образы, volumes, сети.

Плюс — минимальный когнитивный разрыв для команд, которые уже «живут в Docker». Минус — rootless Docker остаётся демоноцентричным: появляется отдельная сущность (user-service демона/сокета), за жизненным циклом которой нужно следить.

Rootless Podman: daemonless и ближе к OCI-модели

Podman изначально проектировался как «без демона»: каждый контейнер — это отдельный процесс, запускаемый через OCI-рантайм (часто crun или runc). Для Podman rootless — не «специальный режим», а естественная схема работы. Отсюда сильная интеграция с systemd на уровне пользовательских сервисов, удобные сценарии автозапуска и более прозрачный контроль жизненного цикла.

Если описать по-админски: rootless Podman чаще ощущается как «обычный Linux-инструмент», а rootless Docker — как «Docker, которому пришлось жить без root».

Облачный VDS-сервер в России

Аренда виртуальных серверов с моментальным развертыванием инфраструктуры от 195₽ / мес

Подробнее

Ниже — практические моменты, которые чаще всего «стреляют» в продакшене: маппинг UID/GID, сеть, cgroups и права на тома.

Пользовательские неймспейсы и subuid/subgid: база, без которой ничего не взлетит

И rootless Docker, и rootless Podman опираются на user namespaces и сопоставление UID/GID контейнера с диапазоном непривилегированных UID/GID на хосте. Для этого нужны записи в /etc/subuid и /etc/subgid. Типовой симптом проблем — ошибки при создании файлов в volume, невозможность распаковать слой образа или «странные» права внутри контейнера.

Проверить выделенные диапазоны можно так:

grep -E '^myuser:' /etc/subuid /etc/subgid

Пример ожидаемой строки:

myuser:100000:65536

Практический совет: на сервере с несколькими пользователями/командами заранее договоритесь о политике subuid/subgid. Пересечения диапазонов и ручные правки «на лету» — частый источник неочевидных багов с volumes и миграциями.

Сети в rootless: почему тут постоянно всплывает slirp4netns

В rootless-модели вы не можете без привилегий создавать мосты, управлять iptables/nft и настраивать сетевой стек так же свободно, как в rootful. Поэтому чаще всего используется user-mode networking.

slirp4netns: как работает и какие последствия

slirp4netns прокидывает трафик из сетевого namespace контейнера через user-space «прокладку» в сеть хоста. Работает практически везде, но имеет особенности:

• Производительность обычно ниже, чем у bridge/macvlan в rootful.

• Входящие соединения завязаны на механизмы публикации портов rootless-реализации, а не на «обычный» firewall DNAT.

• Диагностика сложнее: «сервис не доступен извне» может быть не проблемой приложения, а нюансом rootless port-forwarding.

В rootless Podman slirp4netns — де-факто стандарт во многих сценариях. В rootless Docker тоже используются user-mode подходы, но детали публикации портов/прокси и взаимодействие с системой отличаются.

Порты и привилегии: почему 80/443 «не биндятся»

В Linux привязка к портам ниже 1024 обычно требует привилегий. Rootless-процесс не сможет слушать 0.0.0.0:80 напрямую. Типовые варианты решения:

• использовать порты выше 1024 (например, 8080/8443) и проксировать снаружи (Nginx/HAProxy на хосте);

• настроить net.ipv4.ip_unprivileged_port_start, если политика безопасности это допускает;

• вынести 80/443 на отдельный фронтенд-слой/балансировщик, который ходит на rootless-сервис.

Если у вас часто всплывают вопросы «а почему published ports ведут себя не как в rootful», полезно держать под рукой разбор сетевой модели и правил фильтрации: как Docker взаимодействует с firewall и iptables/nftables.

cgroup v2: лимиты ресурсов в rootless и почему это важно

Ключевая тема для продакшена — cgroup v2. С ним rootless-сценарии в современных дистрибутивах живут заметно лучше, особенно если systemd управляет slices и делегирует контроллеры пользовательским сервисам. Без нормальной поддержки cgroups вы быстро упрётесь в то, что лимиты CPU/памяти «как будто задаются, но не работают».

Что на практике проверять

• Активен ли unified hierarchy (cgroup v2).

• Есть ли делегирование контроллеров для user services (важно для systemd).

• Каким OCI-рантаймом пользуетесь: в rootless crun часто ведёт себя предсказуемее.

Быстрая проверка версии cgroup:

stat -fc %T /sys/fs/cgroup

Если увидите cgroup2fs, значит v2 активен. Если у вас много сервисов под systemd, дополнительно пригодится материал про делегирование и slices: как раскладывать сервисы по systemd slices и контролировать ресурсы.

Volumes и файловые права: главная «мина» rootless

Если в rootful вы привыкли, что bind-mount «просто работает», то в rootless вы чаще сталкиваетесь с тем, что контейнерный UID 0 — это не хостовый root, а отображённый UID из subuid-диапазона. Отсюда типовые проблемы:

• контейнер пишет в volume, а на хосте появляются файлы с «неожиданными» UID;

• контейнер не может писать в bind-mount каталог, который на хосте принадлежит вашему пользователю, потому что маппинг UID/GID не совпал;

• миграции между серверами ломают права, если subuid/subgid различаются.

Практика: как снижать боль с volumes

• Для данных приложений предпочитайте named volumes (управляемые рантаймом) там, где это возможно.

• Если нужен bind-mount, заранее продумывайте UID/GID внутри контейнера (не всегда нужно запускать процесс как root внутри контейнера).

• Для переносимых окружений фиксируйте диапазоны subuid/subgid одинаковыми на всех узлах.

Если вы разворачиваете сервисы на VDS, удобно сразу стандартизировать subuid/subgid и базовые настройки, чтобы миграции и масштабирование не превращались в «права поехали — ищем где». Это особенно актуально для stateful-сервисов и CI-раннеров.

Security: чем rootless реально лучше и где остаются риски

В вопросах безопасности редко помогает ответ «Podman безопаснее Docker» или наоборот. Важнее то, как вы запускаете контейнеры и что именно считаете угрозой.

Что улучшает rootless по умолчанию

• Компрометация контейнера реже даёт прямой root на хосте.

• Снижается поверхность атак на операции, которые в rootful требуют привилегий (часть сетевых и mount-сценариев).

• Сложнее «случайно» раздать контейнеру опасные capabilities, если вы последовательно придерживаетесь rootless-подхода.

Что rootless не решает сам по себе

• Уязвимости приложений внутри контейнеров, секреты в переменных окружения, ошибки в образах.

• Supply chain: что вы тащите в образ и как это обновляете.

• Риски от слишком широких bind-mount (например, когда вы монтируете внутрь контейнера чувствительные каталоги пользователя).

Админский вывод простой: rootless уменьшает blast radius, но не отменяет минимизацию привилегий, обновления, разумные монтирования и контроль секретов. А если на периметре нужен TLS, берите нормальные SSL-сертификаты и не откладывайте это на «потом».

Надежные SSL-сертификаты

Мы предлагаем широкий спектр SSL-сертификатов от GlobalSign по самым низким ценам. Поможем с покупкой и установкой SSL бесплатно!

Подробнее

Systemd и автозапуск: где Podman обычно удобнее

Для серверных сценариев важно, как контейнеры переживают ребут и как их контролировать. Rootless Docker обычно живёт через пользовательский сервис демона и дальше управляет контейнерами «внутри себя». Это привычно, но добавляет слой: нужно следить, чтобы демон поднялся, сокет был доступен, а окружение пользователя корректно инициализировалось (особенно на «чистых» минимальных системах).

Podman часто выигрывает за счёт нативных сценариев генерации systemd-юнитов и общего подхода «каждый контейнер — обычный процесс, которым можно управлять как сервисом». В эксплуатации это обычно означает меньше магии и более предсказуемые зависимости.

Compose, совместимость и UX: что выбрать команде, которая уже в Docker

Если у вас уже есть стек под docker compose, rootless Docker обычно даёт самый короткий путь: меньше переписываний, меньше неожиданностей в CLI, проще переносить инструкции и пайплайны. Rootless Podman тоже закрывает compose-сценарии, но на практике «совместимость» упирается в детали: поведение сетей, aliases, нюансы volumes, ожидания по localhost и отличия в публикации портов.

Если выбираете инструмент для новой инфраструктуры, отталкивайтесь от приоритетов: максимально привычный Docker-UX или более «юнитовский» и процессный подход Podman.

Типовые грабли и диагностика: короткий чек-лист

Симптом: порты опубликованы, но сервис недоступен

• Проверьте, на какой адрес и порт реально слушает приложение внутри контейнера (частая ошибка: слушает только 127.0.0.1 в контейнере).

• Убедитесь, что выбран непривилегированный порт или настроен фронтенд-слой для 80/443.

• Если используется slirp4netns, учитывайте, что входящие соединения и port-forwarding отличаются от bridge в rootful.

Симптом: лимиты памяти/CPU не работают

• Проверьте, что включён cgroup v2 и система делегирует контроллеры пользовательским сервисам.

• Проверьте OCI-рантайм: для rootless часто более предсказуем crun.

Симптом: проблемы с volumes и правами

• Сверьте /etc/subuid и /etc/subgid на всех узлах (особенно при миграциях).

• Сопоставьте владельцев каталогов на хосте и ожидаемые UID/GID внутри контейнера.

• По возможности уходите от bind-mount для stateful-данных в пользу managed volumes.

Кому что выбирать: практические сценарии

Когда rootless Docker обычно рациональнее

• Команда уже живёт в Docker/Compose, много готовых инструкций и CI, и важно минимально менять процессы.

• Нужно быстро получить rootless как «плюс к безопасности» без перестройки стека управления.

Когда rootless Podman чаще оказывается удобнее

• Вы строите сервисы как systemd-юниты и хотите прозрачный lifecycle без отдельного демона.

• Важно дебажить процессы и зависимости «по-линксовому», а не через абстракции демона.

• Вы уже используете cgroup v2 и готовы аккуратно разруливать нюансы compose-совместимости.

Вывод: честное сравнение без религии

Rootless Docker — это максимально знакомый UX для тех, кто уже в экосистеме Docker, с понятной ценой в виде ограничений rootless-сетей, портов и работы с volumes. Хороший выбор, когда важны совместимость и скорость внедрения.

Rootless Podman — более «нативная» для Linux модель без демона, обычно сильнее в интеграции с systemd и админском контроле жизненного цикла. Особенно хорош для серверных сервисов, где прозрачность важнее полной идентичности Docker-поведению.

В обоих случаях не пропускайте базовую валидацию: user namespaces (subuid/subgid), реалистичное понимание slirp4netns и корректную поддержку cgroup v2. Тогда rootless будет усилителем безопасности, а не генератором ночных инцидентов.