Deep Dive: Warum Podman und containerd 2.0 Docker im Jahr 2026 ersetzen werden

Die Containerisierungslandschaft ist beständig im Wandel und hat Ende 2024 und im Laufe des Jahres 2025 eine Vielzahl praktischer und robuster Fortschritte erlebt. Als erfahrene Entwickler sind wir über den "Hype-Zyklus" hinaus und in den Praxistest übergegangen, wo wir Funktionen bewerten, die greifbare operative Vorteile bieten und reale Einschränkungen adressieren. Während Docker unangefochten der Branchenführer bleibt, werfen seine architektonischen Entscheidungen – insbesondere der allgegenwärtige Daemon – weiterhin Fragen nach Alternativen auf, die Sicherheit, Systemintegration und eine granulare Kontrolle über den Container-Lebenszyklus priorisieren. Dieser Wandel spiegelt breitere Branchentrends wider, wie beispielsweise die Hinwendung zu spezialisierten Runtimes, die in Cloudflare vs. Deno: Die Wahrheit über Edge Computing im Jahr 2025 diskutiert werden.

Lassen Sie uns die jüngsten Entwicklungen in Podman, Buildah und containerd analysieren und den Marketing-Hype entfernen, um zu zeigen, was wirklich funktioniert, was noch holprig ist und welche Kompromisse Sie in diesem sich ständig verändernden Ökosystem bis Anfang 2026 unvermeidlich eingehen werden.

Die Daemonless-Doktrin: Podmans sich entwickelnde Architektur

Podmans Hauptattraktion war schon immer seine daemonless-Architektur, ein starker Kontrast zum Client-Server-Modell von Docker. Das Marketing preist "daemonless bedeutet sicherer", aber die Realität ist nuancierter; es verändert grundlegend, wie Container mit dem Host-Betriebssystem interagieren.

Das Abschütteln des Daemons: Ein zweischneidiges Schwert

Podman verzichtet auf einen zentralen, privilegierten Daemon (wie dockerd) und führt Container stattdessen als untergeordnete Prozesse des Benutzers aus, der den Befehl podman aufruft. Diese architektonische Wahl beseitigt in der Tat einen Single Point of Failure und entfernt das inhärente Sicherheitsrisiko eines langfristig laufenden, Root-privilegierten Daemons. Wenn der podman-Prozess kompromittiert wird, ist der Radius des Schadens theoretisch auf die Privilegien des aufrufenden Benutzers beschränkt.

Dieser "daemonless"-Vorteil ist jedoch nicht ohne seine operativen Eigenheiten. Die Verwaltung von Container-Lebenszyklen im Hintergrund, persistentes Logging und automatische Neustarts, die traditionell von einem Daemon übernommen werden, erfordern nun alternative Mechanismen. Podman adressiert dies durch eine tiefe Integration mit systemd auf Linux-Systemen. Sie können beispielsweise systemd-Unit-Dateien für einzelne Container oder ganze Pods mit podman generate systemd generieren. Dadurch können Container wie jeder andere Systemdienst verwaltet werden, wobei die robusten Prozessüberwachungsfunktionen von systemd genutzt werden. Dieser Ansatz bietet eine hervorragende native Integration, verlagert aber die Komplexität von einem einzigen Daemon auf die Verwaltung mehrerer systemd-Units, was den operativen Aufwand für diejenigen erhöhen kann, die mit den Interna von systemd nicht vertraut sind. Die Podman Desktop-Anwendung, die im November 2024 ein CNCF Sandbox-Projekt wurde und im Laufe des Jahres 2025 mehrere Releases erlebte, zielt darauf ab, diese Komplexität für Entwickler auf macOS und Windows zu abstrahieren, indem Podman in einer VM ausgeführt wird.

# Beispiel: Generieren einer systemd-Unit für einen einfachen Nginx-Container
podman run -d --name my-nginx -p 8080:80 nginx:latest
podman generate systemd --name my-nginx > ~/.config/systemd/user/container-my-nginx.service

# Um ihn zu aktivieren und zu starten (als Benutzerdienst)
systemctl --user enable container-my-nginx.service
systemctl --user start container-my-nginx.service

Diese systemd-Integration ist eine praktische und robuste Lösung für Produktionsdeployments auf Linux, erfordert aber Vertrautheit mit einem anderen Paradigma als docker-compose up -d.

Rootless-Realität: Mehr als nur ein Flag

Podmans herausragendes Feature, Rootless-Container, erreichte im Laufe von 2024 und 2025 eine bedeutende Reife. Diese Funktion ermöglicht es nicht-privilegierten Benutzern, Container zu erstellen, auszuführen und zu verwalten, ohne sudo-Zugriff zu benötigen, was die Angriffsfläche drastisch reduziert. Die Magie hinter Rootless-Operationen liegt in Linux User Namespaces.

Wenn ein Rootless-Container gestartet wird, wird sein interner root-Benutzer (UID 0) einer nicht-privilegierten Benutzer-ID auf dem Host-System zugeordnet, typischerweise innerhalb eines Bereichs, der in /etc/subuid und /etc/subgid definiert ist. Die Speicherung für Rootless-Container verlässt sich oft auf fuse-overlayfs, eine FUSE-basierte Implementierung des overlayfs-Dateisystems. Dies ermöglicht es nicht-privilegierten Benutzern, geschichtete Dateisysteme zu erstellen und zu verwalten, eine Aufgabe, die normalerweise dem Kernel-overlayfs-Treiber vorbehalten ist. Während fuse-overlayfs Funktionalität ermöglicht, ist es im Allgemeinen mit einer Leistungseinbuße im Vergleich zum Kernel-Modul verbunden.

Das Networking für Rootless-Container wird von slirp4netns übernommen, einem User-Mode-Networking-Stack, der eine virtuelle Netzwerkschnittstelle erstellt und den Datenverkehr über den Netzwerk-Namespace des Hosts leitet. Dies bietet Netzwerkkonnektivität, ohne erhöhte Privilegien oder direkte Manipulation von Host-Netzwerkschnittstellen zu erfordern. Allerdings weist slirp4netns oft eine höhere Latenz und einen geringeren Durchsatz auf als CNI-basiertes Networking, das von Rootful-Containern verwendet wird, was es weniger ideal für netzwerkintensive Workloads mit hoher Leistung macht. Podman Desktop in seiner v1.22-Version (Oktober 2025) führte die Möglichkeit ein, Podman-Maschinen zwischen Rootless- und Rootful-Modi auf macOS und Windows umzuschalten, und erkannte so die Notwendigkeit von Flexibilität.

Jüngste Entwicklungen: Podman hat ein zügiges Release-Tempo beibehalten und ist ab November 2024 zu einem zeitgesteuerten vierteljährlichen Release-Zeitplan übergegangen. Ziel ist es, vorhersehbare Updates zu gewährleisten, wobei Podman 5.x-Releases im Laufe des Jahres 2025 Leistungsverbesserungen, eine bessere Docker API-Kompatibilität in seinem RESTful-Dienst und fortlaufende Verbesserungen von Podman Desktop, einschließlich eines nativen ARM64-Installers für Windows und verbesserter Netzwerkverwaltungs-UIs, mit sich brachten. Das Projekt arbeitet auch an der Integration von composefs und einer verbesserten BuildKit-API-Unterstützung für zukünftige Releases.

Bausteine: Buildahs granulare Image-Erstellung

Buildah wird oft von Podman überschattet, ist aber der unbesungene Held für diejenigen, die eine feingranulare Kontrolle über ihre Container-Image-Erstellung fordern. Es ist nicht nur ein docker build-Ersatz; es ist ein daemonless-Toolkit für die OCI-Image-Konstruktion.

Die Image-Montagelinie, entfesselt

Buildah bietet eine Reihe von Befehlen, mit denen Entwickler OCI-konforme Container-Images schrittweise erstellen können, ohne einen Container-Daemon zu benötigen. Während buildah bud eine Dockerfile-kompatible Erfahrung bietet (z. B. buildah bud -t myimage .), liegt seine wahre Stärke in seinen atomaren Befehlen wie buildah from, buildah mount, buildah run und buildah commit.

Diese granulare Kontrolle ermöglicht fortschrittliche Image-Optimierungsstrategien. Anstatt sich ausschließlich auf mehrstufige Dockerfiles zu verlassen, können Sie ein Container-Dateisystem explizit mounten (buildah mount), Änderungen direkt mit Host-Tools vornehmen und dann nur die erforderlichen Layer committen (buildah commit). Dieser "Build-from-Scratch"- oder "Mount-and-Modify"-Ansatz hilft, extrem minimale Images zu erstellen, indem Buildzeit-Abhängigkeiten und -Tools (wie gcc oder Paketmanager) aus dem endgültigen Runtime-Image ausgeschlossen werden, wodurch die Image-Größe und die Angriffsfläche erheblich reduziert werden.

# Beispiel: Erstellen eines minimalen Nginx-Images mit Buildah-Granularbefehlen
# 1. Von Grund auf neu beginnen
container=$(buildah from scratch)

# 2. Eine OS-Basis hinzufügen (z. B. busybox)
buildah add $container busybox.tar /

# 3. Nginx installieren (dies ist vereinfacht, normalerweise würden Sie eine vorgefertigte Binärdatei kopieren)
#    In einem realen Szenario würden Sie möglicherweise von einem Build-Image starten, installieren und dann kopieren.
buildah run $container -- apk add nginx

# 4. Port freigeben und Einstiegspunkt festlegen (Buildah-Konfiguration)
buildah config --port 80 --entrypoint '["nginx", "-g", "daemon off;"]' $container

# 5. In ein neues Image committen
buildah commit $container my-minimal-nginx:latest

Diese Methode ist zwar leistungsstark, erfordert aber ein tieferes Verständnis der Image-Layerung und der Dateisystemoperationen als ein einfaches Dockerfile. Die Lernkurve ist unbestreitbar.

Supply Chain-Befestigung: SBOM und darüber hinaus

Jüngste Buildah-Releases haben sich stark auf die Sicherheit der Lieferkette konzentriert. Buildah 1.35 (März 2024) führte das wichtige --sbom-Flag ein, mit dem Benutzer eine Software Bill of Materials (SBOM) während des Build- oder Commit-Prozesses generieren können. Eine SBOM bietet ein detailliertes Inventar aller Komponenten, Bibliotheken und Abhängigkeiten innerhalb eines Container-Images, das für die Identifizierung von Schwachstellen und die Sicherstellung der Compliance unerlässlich ist.

# Beispiel: Erstellen eines Images und Generieren einer SBOM
buildah bud --sbom --format spdx -t my-app:latest .

Das --sbom-Flag ist eine willkommene Ergänzung, die ein kritisches Bedürfnis nach Transparenz in der Software-Lieferkette adressiert. Die Generierung einer SBOM ist jedoch nur der erste Schritt; ihr wahrer Nutzen hängt von robusten Tools für den Konsum, die Analyse und das Handeln auf der Grundlage dieser Daten ab. Ohne ein umfassendes Ökosystem für das SBOM-Management besteht die Gefahr, dass es sich um ein weiteres Kontrollkästchen-Feature handelt, anstatt um eine echte Sicherheitsverbesserung. Der buildah push-Befehl wurde in 1.35 ebenfalls mit den Flags --retry und --retry-delay für ein robusteres Image-Pushing verbessert, was die Fehleranfälligkeit von Netzwerkoperationen zu Registrierungen berücksichtigt.

Jüngste Entwicklungen: Buildah hat eine kontinuierliche Entwicklung erlebt, mit Versionen von 1.35.0 (März 2024) bis 1.42.0 (Oktober 2025). Bemerkenswerte Änderungen umfassen das --pull-Flag, das jetzt das Verhalten von Docker --pull=always emuliert, und eine verbesserte Behandlung von Zielpfaden, die mit / enden. Dies sind praktische, Qualitätsverbesserungen, die Workflows rationalisieren, aber die fortlaufenden Bemühungen verdeutlichen, sich an etablierte Docker-Verhaltensweisen anzupassen.

containerd 2.0: Die unsichtbare Grundlage wird gehärtet

Während Podman und Buildah das Entwicklererlebnis bedienen, arbeitet containerd auf einer niedrigeren Ebene und fungiert als Industriestandard-Kerncontainer-Runtime für Kubernetes und andere Orchestrierungssysteme. Seine 2.0-Version Ende 2024 und die nachfolgende 2.1 im Mai 2025 sind wichtige Meilensteine, die sich auf Stabilität, Erweiterbarkeit und Sicherheit konzentrieren.

CRI-Os Rückgrat, neu konstruiert

containerd dient als High-Level-Container-Runtime, die den gesamten Container-Lebenszyklus verwaltet – Image-Transfer, Speicherung und Ausführung – und eine gRPC-API bereitstellt. Es ist der De-facto-Standard für Kubernetes und implementiert die Container Runtime Interface (CRI), die vom kubelet benötigt wird. Die containerd 2.0-Version, sieben Jahre nach ihrem 1.0-Debüt, geht nicht um auffällige neue Endbenutzerfunktionen, sondern um eine strategische Stabilisierung und Verbesserung der Kernfunktionen.

Diese Version konsolidiert experimentelle Funktionen aus der 1.7-Serie in den stabilen Kanal und entfernt veraltete Funktionen, um eine robustere und vorhersehbarere Grundlage zu gewährleisten. Für Produktionsbetreiber bedeutet dies eine widerstandsfähigere und leistungsfähigere Runtime, obwohl die Wachsamkeit gegenüber API-Abschreibungen und -Entfernungen in Kubernetes-Versionen, die an containerd-Upgrades gebunden sind, eine kritische Aufgabe bleibt. Das Konfigurationsformat wurde ebenfalls auf v3 geändert, was einen Migrationsschritt für bestehende Installationen erfordert (containerd config migrate).

NRI und User Namespaces: Feinere Kontrolle, tiefere Sicherheit?

containerd 2.0 aktiviert standardmäßig die Node Resource Interface (NRI) und bietet einen leistungsstarken Erweiterungsmechanismus zur Anpassung von Low-Level-Containerkonfigurationen. NRI ermöglicht eine feinere Kontrolle über die Ressourcenzuweisung und die Durchsetzung von Richtlinien über Plugins, ähnlich wie Mutating Admission Webhooks, die aber direkt auf Runtime-Ebene operieren. Dies könnte die dynamische Injektion von Runtime-Konfigurationen oder benutzerdefinierten Ressourcenverwaltungsrichtlinien ermöglichen, eine Funktion, die zuvor ohne direkte Runtime-Modifikationen mühsamer war. Obwohl leistungsstark, hängt der wahre Einfluss von NRI von der Entwicklung nützlicher Plugins durch die Community ab; Out-of-the-Box ist es ein Mechanismus, keine Lösung.

Eine weitere bedeutende Verbesserung ist die verbesserte Unterstützung für User Namespaces. Diese Funktion ermöglicht es Containern, innerhalb des Containers als root zu laufen, aber auf dem Host-System auf eine nicht-privilegierte Benutzer-ID (UID) abgebildet zu werden, wodurch der Radius eines Container-Escapes drastisch reduziert wird. Während containerd 2.0 diese Unterstützung mitbringt, galt sie bis Ende 2024 noch als "Beta für Kubernetes". Dies deutet darauf hin, dass die zugrunde liegende Runtime-Funktionalität vorhanden ist, ihre vollständige, stabile Integration und Validierung innerhalb des komplexen Kubernetes-Ökosystems jedoch ein längerer Prozess ist. Die Aktivierung erfordert oft Kernel-Parameter wie user.max_user_namespaces=1048576.

Networking neu gedacht: CNI, Netavark und das Rootless-Dilemma

Container-Networking ist zweifellos einer der komplexesten Bereiche, und das Ökosystem entwickelt sich weiter und strebt nach flexibleren und sichereren Modellen.

Der CNI-Standard: Ein zweischneidige Spezifikation

Die Container Network Interface (CNI) bleibt die grundlegende Spezifikation für die Konfiguration von Netzwerkschnittstellen für Linux-Container. Sowohl Podman (bei Rootful-Ausführung) als auch containerd halten sich an CNI und gewährleisten so einen standardisierten Mechanismus für die Plugin-Integration von Netzwerken. Dies bedeutet, dass die zugrunde liegende Netzwerktopologie (z. B. veth-Paare, virtuelle Bridges) für Rootful-Container über CNI-konforme Runtimes weitgehend konsistent ist.

CNIs Flexibilität kann jedoch sowohl eine Stärke als auch eine Schwäche sein. Verschiedene CNI-Plugins (z. B. Bridge, Host-local oder fortschrittlichere wie Calico, Cilium) bieten unterschiedliche Funktionen und Komplexitäten. Die Fehlersuche bei Netzwerkproblemen erfordert oft das Verständnis der spezifischen Plugin-Konfigurationsdateien, die sich typischerweise in /etc/cni/net.d/ befinden, und der Interaktion mit Host-Netzwerktools wie iptables oder nftables. Dies ist keine "Einmal einrichten und vergessen"-Situation; es erfordert fundierte Kenntnisse in der Netzwerk-Fehlersuche.

Podmans Netzwerk-Shift: Von CNI zu Netavark

Eine bedeutende Entwicklung für Podman-Benutzer ist der Übergang von CNI zu Netavark als Standard-Netzwerk-Backend. Netavark wurde in Podman 4.0 eingeführt und ist ein neuer Netzwerk-Stack, der in Go geschrieben wurde und speziell dafür entwickelt wurde, sich besser in Podmans daemonless-Architektur zu integrieren. CNI ist jetzt veraltet und wird in einer zukünftigen Hauptversion von Podman (5.0+) entfernt, wobei Netavark bevorzugt wird.

Dieser Wandel zielt darauf ab, ein kohärenteres Networking-Erlebnis zu bieten, insbesondere bei der Verwaltung benutzerdefinierter Netzwerke und der DNS-Auflösung. Um zu überprüfen, welche Backend Ihre Podman-Installation verwendet, können Sie podman info --format {{.Host.NetworkBackend}} ausführen. Während Netavark eine robustere und integriertere Lösung verspricht, bedeutet dies auch, dass bestehende CNI-Konfigurationen, insbesondere benutzerdefinierte, möglicherweise neu bewertet und migriert werden müssen, wenn Sie Podman-Versionen aktualisieren.

Für Rootless-Container bleibt slirp4netns aufgrund der inhärenten Einschränkungen für nicht-privilegierte Benutzer bei der Manipulation von Netzwerkgeräten der primäre Netzwerkmechanismus. Dies schafft eine anhaltende Diskrepanz in den Netzwerkfunktionen und der Leistung zwischen Rootful- und Rootless-Deployments, ein grundlegender Kompromiss, den Entwickler aktiv verwalten müssen. Obwohl slirp4netns funktionsfähig ist, kann sein Overhead für Anwendungen mit hohem Netzwerk-I/O oder geringer Latenz erheblich sein. Podman Desktop in seiner v1.22-Version (Oktober 2025) führte die Möglichkeit ein, Podman-Maschinen zwischen Rootless- und Rootful-Modi auf macOS und Windows umzuschalten, und erkannte so die Notwendigkeit von Flexibilität.

Sicherheitslage: Über die grundlegende Isolation hinaus

Die Container-Sicherheitslandschaft entwickelt sich weiter und geht über die grundlegende Image-Scans hinaus, um sich auf tiefere Runtime-Schutzmaßnahmen und die Integrität der Lieferkette zu konzentrieren.

Geschichtete Verteidigung: Rootless, Namespaces und Capabilities

Der Schwerpunkt auf der Ausführung von Containern mit den geringsten erforderlichen Privilegien hat sich verstärkt. Podmans rootless-Modus und die verbesserte User Namespace-Unterstützung in containerd 2.0 sind prominente Beispiele für diesen Trend. Durch die Abbildung des Container-root auf eine nicht-privilegierte Host-Benutzer-ID wird die Auswirkung eines Container-Escapes erheblich reduziert.

Über User Namespaces hinaus ist die Einschränkung von Linux-Capabilities nach wie vor eine kritische Praxis. Container werden oft mit einer breiten Palette von Standard-Capabilities (z. B. CAP_NET_ADMIN, CAP_SYS_ADMIN) ausgeführt, die von den meisten Anwendungen selten benötigt werden. Das explizite Entfernen unnötiger Capabilities (z. B. podman run --cap-drop ALL --cap-add CHOWN myimage) reduziert die Angriffsfläche. Darüber hinaus bietet eine robuste Integration mit Host-Sicherheitsmodulen wie SELinux und AppArmor eine zusätzliche Schicht der obligatorischen Zugriffskontrolle, die Container-Prozesse einschränkt und ihre Interaktionen mit dem Kernel einschränkt. Die Konfiguration dieser ist jedoch keine triviale Aufgabe und erfordert oft fundierte Kenntnisse auf Betriebssystemebene.

Integrität der Lieferkette: SBOMs und Image-Verifizierung

Der Fokus auf die Sicherheit der Software-Lieferkette ist von größter Bedeutung geworden. Buildahs --sbom-Flag, wie bereits erwähnt, ist eine direkte Reaktion auf diese Notwendigkeit. Ergänzend dazu führten die Open Container Initiative (OCI) Image Specification v1.1 (veröffentlicht im Februar 2024) neue Funktionen wie die Felder subject und artifactType zusammen mit einer referrers API ein, die speziell dafür entwickelt wurden, Metadaten (wie Signaturen, Attestierungen und SBOMs) mit bestehenden OCI-Images zu verknüpfen.

Dies ist eine kritische architektonische Verbesserung. Zuvor umfasste das Anhängen solcher Metadaten oft proprietäre Mechanismen oder das Einbetten in Image-Labels, denen ein konsistenter, überprüfbarer Standard fehlte. Die referrers API ermöglicht Tools, ein Registry nach allen Artefakten abzufragen, die einem bestimmten Image-Manifest zugeordnet sind, und ermöglicht so einen robusteren und standardisierten Ansatz für die Sicherheit und Compliance der Lieferkette. Darüber hinaus wurde in v1.1 die Erstellung nicht verteilbarer Layer veraltet, was die Registry-Operationen vereinfacht und die Unterstützung von Air-Gapped-Netzwerken verbessert. Diese Änderungen sind grundlegend, aber ihre volle Wirkung wird sich erst dann zeigen, wenn Tools und Registries die neue API universell übernehmen.

OCI-Spezifikationen: Die unbesungenen Architekten der Interoperabilität

Während sie oft vom durchschnittlichen Entwickler unbemerkt bleiben, sind die Open Container Initiative (OCI)-Spezifikationen das Fundament der Container-Interoperabilität. Ihre jüngsten Updates, insbesondere im Jahr 2024, festigen die Grundlage, auf der Docker-Alternativen operieren.

OCI Image und Distribution Spec v1.1: Das Zeitalter der Artefakte

Die OCI Image Specification und Distribution Specification erhielten jeweils am 15. Februar 2024 v1.1-Releases. Dies waren die ersten Nebenversionen seit 2017 bzw. 2021 und brachten bedeutende Änderungen mit sich, insbesondere "Artefakte". Die neuen Felder subject und artifactType zusammen mit einer referrers API standardisieren, wie Metadaten wie Signaturen, Attestierungen und SBOMs mit Container-Images verknüpft werden können.

OCI Runtime Spec v1.2: Unter der Oberfläche

Die OCI Runtime Spec v1.2.0 wurde am 18. Februar 2024 veröffentlicht. Diese Spezifikation definiert das Verhalten und die Konfigurationsschnittstelle für Low-Level-Container-Runtimes wie runc und crun. Die v1.2-Version enthielt Verbesserungen wie die Unterstützung für idmap- und ridmap-Mount-Optionen. Diese Optionen sind entscheidend, um eine flexiblere und sicherere Volume-Mounting innerhalb von User Namespaces zu ermöglichen, was die erweiterten Rootless-Funktionen in Podman und containerd direkt unterstützt.

Eine weitere bemerkenswerte, wenn auch subtile, Ergänzung ist die Auflistung von potentiallyUnsafeConfigAnnotations. Dies bietet eine standardisierte Möglichkeit für Runtimes, Konfigurationsanmerkungen zu signalisieren, die das Verhalten auf unerwartete oder unsichere Weise verändern könnten, und bietet einen klareren Weg für Sicherheitsprüfer und Entwickler, potenzielle Risiken zu bewerten. Obwohl diese Updates hochtechnisch und tiefgreifend sind, stellen sie die kontinuierliche Verfeinerung der Kernstandards dar, die sicherstellen, dass alle OCI-konformen Runtimes konsistente, interoperable und zunehmend sichere Container-Ausführung liefern können.

Orchestrierung und Migration: Kubernetes und das Compose-Dilemma

Die lokale Entwicklungsgeschichte für Docker-Alternativen, insbesondere wenn es um Multi-Container-Anwendungen und die Kubernetes-Integration geht, hat sich robust entwickelt, wenn auch mit ihren eigenen Herausforderungen.

Kubernetes-Integration: CRI-O, containerd und Podmans Bridge

containerds Rolle als primäre Runtime für Kubernetes über CRI ist gut etabliert und wurde durch die 2.0-Version weiter gehärtet. Für die lokale Kubernetes-Entwicklung wird containerd oft direkt oder indirekt über Tools wie kind oder k3s verwendet.

Podmans Geschichte mit Kubernetes ist unterschiedlich. Es implementiert nicht direkt CRI für die kubelet-Interaktion, bietet aber leistungsstarke Funktionen für Entwickler, die mit Kubernetes-Manifesten lokal arbeiten. Der Befehl podman play kube ermöglicht es Ihnen, eine Kubernetes-YAML-Datei (für Pods, Deployments, Services, ConfigMaps) direkt auf einem lokalen Podman-Host bereitzustellen, wobei Kubernetes-Objekte in Podman-Pods und -Container übersetzt werden. Dies ist unglaublich nützlich, um Kubernetes-Workloads lokal zu testen, ohne einen vollständigen Kubernetes-Cluster. Wenn Sie mit komplexen Konfigurationen arbeiten, können Sie dieses YAML to JSON-Tool verwenden, um die Struktur Ihres Manifests zu validieren.

Allerdings ist podman play kube kein...