Posted inFedora

Tạm biệt ‘podman generate systemd’: Cách dùng Quadlet quản lý container chuyên nghiệp trên Fedora

Fedora tutorial - IT technology blog
Fedora tutorial - IT technology blog

Tại sao mình bỏ ‘podman generate systemd’ để sang Quadlet?

Nếu đang chạy container trên Fedora, chắc hẳn bạn không lạ gì lệnh podman generate systemd. Cách làm này từng là tiêu chuẩn, nhưng nó để lại một đống “nợ kỹ thuật”. File unit tạo ra thường dài hàng chục dòng, chứa các ID container cứng và cực kỳ khó bảo trì. Mỗi lần cần đổi biến môi trường hay mount thêm volume, việc sửa file unit chẳng khác nào một cực hình.

Mình dùng Fedora làm máy dev chính hơn 2 năm nay. Khi Podman 4.4 ra mắt Quadlet, mình đã dọn dẹp toàn bộ service cá nhân sang công cụ này. Quadlet cho phép định nghĩa container qua file .container ngắn gọn, tương tự như config của systemd. Hệ thống sẽ tự biên dịch chúng thành unit systemd thực thụ mỗi khi bạn reload. Rất sạch sẽ và hiện đại.

Ưu điểm lớn nhất là khả năng chạy rootless (không cần quyền root). Trên Fedora, Quadlet giúp tăng đáng kể tính bảo mật mà không làm khó anh em DevOps bằng các cấu hình đặc thù phức tạp.

Chuẩn bị môi trường trên Fedora

Hầu hết các bản Fedora từ version 38 trở lên đều tích hợp sẵn Podman mới. Bạn có thể kiểm tra nhanh phiên bản bằng lệnh:

podman --version

Chỉ cần phiên bản từ 4.4 trở lên là Quadlet đã sẵn sàng. Nếu bạn dùng bản Fedora Minimal, hãy cài thêm package cần thiết:

sudo dnf install -y podman

Một lưu ý quan trọng cho chế độ rootless: Để container tự khởi động cùng máy mà không cần bạn phải login (qua SSH hay GUI), hãy bật tính năng linger:

loginctl enable-linger $USER

Triển khai container đầu tiên với Quadlet

Quên Docker Compose hay những câu lệnh podman run dài dằng dặc đi. Với quyền user thông thường, bạn chỉ cần làm việc trong thư mục: ~/.config/containers/systemd/.

Tạo thư mục cấu hình nếu chưa có:

mkdir -p ~/.config/containers/systemd/

Hãy thử dựng một con Nginx làm web server cá nhân. Tạo file my-web.container:

nano ~/.config/containers/systemd/my-web.container

Copy nội dung cấu hình sau:

[Unit]
Description=Nginx Web Server chạy bằng Quadlet
After=network-online.target

[Container]
Image=docker.io/library/nginx:latest
PublishPort=8080:80
Volume=/home/user/html:/usr/share/nginx/html:Z
Environment=FOO=BAR

[Install]
WantedBy=default.target

Các thông số bạn cần lưu ý:

  • [Unit]: After=network-online.target giúp container chờ đến khi máy có mạng mới khởi chạy.
  • [Container]: Đây là trái tim của file.
    • Image: Khai báo image cần dùng.
    • PublishPort: Map port 8080 của máy host vào port 80 bên trong container.
    • Volume: Hậu tố :Z là cứu cánh trên Fedora. Nó giúp Podman tự xử lý SELinux label, tránh triệt để lỗi “Permission denied” gây ức chế.

Kích hoạt và Quản lý service

Sau khi lưu file, Quadlet chưa tự áp dụng ngay. Bạn cần yêu cầu systemd quét lại cấu hình:

systemctl --user daemon-reload

Lúc này, một service tên là my-web.service đã được tự động tạo ra. Bạn điều khiển nó như một dịch vụ hệ thống bình thường:

# Khởi chạy service
systemctl --user start my-web.service

# Kiểm tra trạng thái hoạt động
systemctl --user status my-web.service

# Tự động chạy khi boot máy
systemctl --user enable my-web.service

Quy trình này cực kỳ nhàn nhã. Khi muốn cập nhật image, bạn chỉ cần podman pull nginx:latest rồi systemctl --user restart my-web. Hệ thống tự lo liệu việc hủy container cũ và tạo mới, bạn không cần quản lý ID thủ công nữa.

Kiểm tra & Monitoring

Log của container giờ đây nằm chung với systemd journal. Việc quản lý tập trung giúp bạn track lỗi dễ dàng hơn:

journalctl -f --user-unit my-web.service

Nếu muốn soi kỹ hơn dưới góc độ Podman, lệnh podman ps vẫn hoạt động hoàn hảo. Trong trường hợp service không xuất hiện sau khi reload, hãy dùng công cụ debug của Quadlet:

/usr/libexec/podman/quadlet -user --dry-run

Lệnh này sẽ render ra file unit systemd thô. Nếu có lỗi cú pháp trong file .container, bạn sẽ thấy thông báo lỗi xuất hiện ngay tại đây thay vì phải đoán mò.

Lưu ý thực tế về SELinux và Port

Nhiều người thường tắt SELinux vì thấy phiền khi mount volume. Đừng làm vậy. Thay vì setenforce 0, hãy dùng :Z cho volume riêng hoặc :z cho volume chia sẻ. Fedora sẽ tự gắn nhãn (relabel) để bảo vệ hệ thống mà vẫn cho phép container truy cập file.

Về vấn đề Port, Fedora mặc định chặn user thường dùng các port dưới 1024 (như 80, 443). Cách tốt nhất là dùng port cao như 8080 hoặc 8443, sau đó dùng Reverse Proxy như Caddy hoặc Nginx đứng trước để điều hướng traffic. Cách này vừa an toàn, vừa đúng chuẩn rootless.

Chuyển sang Quadlet là bước đi đúng đắn nếu bạn muốn quản lý container một cách chuyên nghiệp và ổn định lâu dài trên hệ sinh thái Fedora.

Share:
Tags: