容器化技术选型：Docker vs Podman vs containerd

容器化技术选型：Docker vs Podman vs containerd

容器技术已成为现代应用部署的标准方式。随着 Kubernetes 弃用 Docker 作为运行时，容器生态逐渐多元化。本文对比主流容器技术，帮你做出合适的技术选型。

一、容器技术发展历程

2013 年 Docker 横空出世，将容器技术带入主流视野。2015 年 OCI（开放容器倡议）成立，规范了容器镜像和运行时接口，打破 Docker 垄断。2020 年 Kubernetes 1.20 宣布弃用 dockershim，推动了 containerd、CRI-O 的普及。

二、Docker

优势：生态最成熟、文档丰富、工具链完整（Docker Compose、Docker Desktop）、开发体验最佳

劣势：需要 daemon 进程（dockerd）以 root 运行，存在安全风险；Kubernetes 已不直接支持

适用场景：本地开发环境、小规模部署、学习入门、CI/CD 构建环境

docker build -t myapp:v1 .
docker run -d -p 8080:80 --name myapp myapp:v1
docker-compose up -d

三、Podman

优势：无 daemon、无 root（rootless 运行），更安全；兼容 Docker CLI 命令；原生支持 Pod 概念；Red Hat 生态首选

劣势：Windows/Mac 支持相对弱；部分 Docker Compose 特性需用 podman-compose 替代

适用场景：注重安全的生产环境、RHEL/CentOS/Fedora 系统、需要无 root 运行容器的场景

podman build -t myapp:v1 .
podman run -d -p 8080:80 myapp:v1
podman pod create --name mypod -p 8080:80

四、containerd

优势：轻量级、高性能；Kubernetes 默认运行时；CNCF 毕业项目，生产验证充分

劣势：缺少上层工具链（需配合 nerdctl 使用）；不适合纯开发场景

适用场景：Kubernetes 节点运行时、云原生生产环境

nerdctl build -t myapp:v1 .
nerdctl run -d -p 8080:80 myapp:v1
# Kubernetes 自动使用 containerd，无需手动操作

五、CRI-O

专为 Kubernetes 设计的容器运行时，最小化实现 CRI 接口，比 containerd 更轻量。适合对资源占用要求极致的场景，但生态相对小众。

六、镜像构建工具对比

• Docker BuildKit：Docker 内置，支持并行构建、缓存挂载，性能大幅提升
• Buildah：无 daemon 镜像构建，可在 CI/CD 中以普通用户运行
• Kaniko：在 Kubernetes Pod 内构建镜像，无需挂载 Docker socket
• Buildpacks：自动检测语言和框架，无需编写 Dockerfile

七、选型建议

• 本地开发：Docker Desktop 或 Podman Desktop
• Kubernetes 运行时：containerd（通用）或 CRI-O（OpenShift）
• 安全敏感环境：Podman（rootless）
• CI/CD 镜像构建：Kaniko 或 Buildah（无需特权）

总结

容器技术生态已从 Docker 一家独大演变为百花齐放。对于大多数团队，开发用 Docker、生产 Kubernetes 用 containerd 是最务实的选择。随着安全意识提升，rootless 容器（Podman）将越来越受到重视。