Podman: Container Không Cần Daemon, Bảo Mật Hơn Docker?

Docker Hoạt Động Tốt, Nhưng Có Một Vấn Đề

Docker đã thay đổi cách developer triển khai ứng dụng. Đóng gói code vào container, chạy ở bất kỳ đâu — quá tiện lợi. Nhưng kiến trúc client-server của Docker có một điểm yếu cốt lõi: mọi thứ đều chạy qua một daemon (dockerd) với quyền root.

Một process root duy nhất quản lý tất cả container. Nếu kẻ tấn công chiếm được daemon này, toàn bộ host bị lộ. Thêm vào đó, Docker daemon là single point of failure — nếu nó crash, tất cả container ngừng hoạt động.

Podman (Pod Manager) — phát triển bởi Red Hat — giải quyết vấn đề này bằng cách loại bỏ hoàn toàn daemon.

Podman Khác Docker Như Thế Nào?

Sự khác biệt nằm ở kiến trúc:

• Không có daemon tập trung. Mỗi container là một process con trực tiếp của Podman, được Linux kernel quản lý. Không có process root chạy nền 24/7.
• Rootless mặc định. Container chạy dưới tài khoản người dùng thông thường, không cần root. Nếu attacker thoát ra khỏi container, họ chỉ có được quyền của user đó — không phải root.
• Fork-exec model. Thay vì gửi lệnh qua socket đến daemon, Podman fork một process mới cho mỗi container. Đây là cách Unix truyền thống vận hành.

Điểm đáng chú ý: Podman tương thích hoàn toàn với Docker CLI. Lệnh podman run, podman build, podman ps hoạt động giống hệt docker run, docker build, docker ps. Thậm chí có thể alias docker=podman và tiếp tục dùng thói quen gõ lệnh cũ.

Rootless Container — Lợi Ích Bảo Mật Thực Sự

Đây là tính năng quan trọng nhất của Podman. Rootless container sử dụng user namespace isolation của Linux kernel:

# Container chạy dưới UID của user, không phải root
podman run -d --name web -p 8080:80 nginx:alpine

# Process container xuất hiện với UID của user hiện tại
ps aux | grep nginx
# → user  12345  ... nginx: master process

UID bên trong container được ánh xạ sang UID không đặc quyền trên host. Không có đường leo thang lên root. Không có socket root mở sẵn. Nhiều user trên cùng một máy có thể chạy container mà không ảnh hưởng lẫn nhau.

Với Docker truyền thống, một container build image độc hại có thể thao túng Docker socket (/var/run/docker.sock) để chiếm host. Podman không có socket root nào để khai thác.

Tích Hợp systemd Và Pod

Podman có hai tính năng mà Docker thiếu:

Pod. Giống Kubernetes pod — nhóm nhiều container chia sẻ chung network namespace. Hữu ích khi phát triển cục bộ các service cần giao tiếp với nhau, mô phỏng môi trường giống production nhất có thể.

podman pod create --name my-app -p 8080:80
podman run -d --pod my-app nginx:alpine
podman run -d --pod my-app redis:alpine

systemd integration. Podman có thể sinh unit file systemd cho container, biến chúng thành service native của Linux:

podman generate systemd --name web > ~/.config/systemd/user/container-web.service
systemctl --user enable --now container-web

Container tự động khởi động cùng máy, tự restart khi lỗi — không cần Docker daemon hay restart policy.

Khi Nào Nên Chuyển Sang Podman?

Nên chuyển nếu:

• Bảo mật là ưu tiên (multi-tenant server, CI runner chia sẻ)
• Không muốn có daemon root chạy nền trên production
• Cần tích hợp sâu với systemd
• Muốn phát triển cục bộ với pod giống Kubernetes

Giữ Docker nếu:

• Team đã đầu tư sâu vào Docker Compose (dù Podman đã có podman compose)
• Cần Docker Desktop trên macOS/Windows với GUI (Podman machine chưa mượt bằng)
• CI/CD pipeline phụ thuộc Docker socket mount

Việc chuyển đổi không cần làm đồng loạt. Nhiều team dùng Podman cho môi trường phát triển và CI, Docker cho các service legacy. Podman socket API tương thích Docker, nên các công cụ như Testcontainers hoạt động bình thường sau khi set DOCKER_HOST.

Điểm Mấu Chốt

Podman không phải "Docker killer" — nó là lựa chọn kiến trúc khác, an toàn hơn cho production. Daemonless + rootless không phải tính năng phụ, mà là thay đổi căn bản trong cách container vận hành. Nếu team đang chạy container trên Linux server và quan tâm đến bảo mật, Podman xứng đáng được thử ngay hôm nay.