17 commentaires
Honnêtement, le côté daemonless de Podman est un changement de paradigme nécessaire. Avoir un processus unique avec les droits root qui gère tous les conteneurs, c'est une faille de sécurité majeure par design. Une fois qu'on a pris l'habitude de podman run, on ne revient pas en arrière.
Je comprends l'aspect sécurité, mais qu'en est-il du support ? Beaucoup d'outils tiers attendent encore un socket /var/run/docker.sock. Tu fais comment pour gérer les outils qui ne supportent pas encore nativement Podman sans passer par des hacks complexes ?
C'est exactement là que ça coince. Pour le développement local, Docker Desktop reste imbattable. Podman sur Mac ou Windows, c'est une VM supplémentaire qui tourne en fond pour émuler Linux. Au final, on perd tout l'intérêt de la légèreté vantée au début.
On a migré toute notre stack CI/CD vers Podman l'an dernier. Pour les builds, on utilise buildah, c'est bien plus efficace pour générer des images OCI sans avoir besoin de root. Le gain en CI est énorme car on isole mieux les builds.
Exactement. Et n'oublions pas le support de systemd. Podman permet de gérer des conteneurs comme des services système classiques avec systemctl --user, c'est un confort indéniable pour le déploiement sur des serveurs isolés.
Je rajoute un point : la compatibilité CLI. L'alias alias docker=podman fonctionne dans 90% des cas. Le coût de migration est proche de zéro si ton équipe est compétente.
Si tu as besoin de réseaux complexes, tu devrais peut-être passer sur des pods natifs plutôt que de vouloir reproduire le comportement réseau de Docker.
Je reste chez Docker. La communauté est trop large pour s'en passer. Le support stackoverflow est 100x meilleur.
Laisser une réponse
Vous devez être connecté pour poster un message !
Je vois de plus en plus d'équipes vouloir basculer de Docker vers Podman pour leurs clusters Kubernetes ou leurs environnements CI/CD. L'argument principal est souvent le mode daemonless qui serait plus sécurisé.
Honnêtement, après avoir testé les deux, je trouve que le workflow Docker reste bien plus mature, surtout pour le tooling périphérique comme
docker-composeou les intégrations IDE. Est-ce que le gain de sécurité de Podman justifie réellement la perte de confort et les potentielles incompatibilités sur des pipelines complexes ?J'aimerais avoir vos retours d'expérience sur cette migration : est-ce une vraie valeur ajoutée ou juste une mode pour puristes de la sécurité ?