48 Volumes: Typen, Verhalten, Persistenz

Volumes bilden die Speichergrundlage containerisierter Anwendungen. Sie bestimmen, welche Daten Container behalten dürfen, welche isoliert bleiben und welche mit anderen Containern oder dem Host geteilt werden. Podman implementiert Volumes vollständig daemonlos; der gesamte Persistenzmechanismus basiert auf containers/storage und greift – je nach Rootless- oder Root-Modus – auf unterschiedliche Mount-Techniken zurück. Für produktionsnahe Architekturen ist das Verständnis dieser Mechanismen essenziell, denn falsche Volume-Modelle gehören zu den häufigsten Ursachen für Datenverlust, Inkonsistenzen oder fehlende Wiederholbarkeit.

48.1 Grundprinzip: Container-Dateisysteme sind flüchtig

Ohne Volumes speichern Container Daten im writable Layer. Dieser Layer ist:

• nicht persistent
• nicht geteilt
• Copy-on-Write auf Basis der darunterliegenden Image-Layer
• beim Neustart oder Rebuild weg

Das flüchtige Dateisystem ist ideal für stateless Services, aber fatal für Datenbanken, Queues, Caches, Buildprozesse oder alles, was Daten zwischen Containerstarts behalten muss.

Volumes lösen dieses Problem, indem sie Speicherbereiche vom Container-Dateisystem trennen und dauerhaft im Host-Dateisystem persistieren.

48.2 Volume-Typen in Podman

Podman kennt drei primäre Volume-Arten:

1. Named Volumes
2. Bind Mounts
3. Anonymous Volumes

Jeder Typ deckt ein anderes Architekturprofil ab.

48.2.1 Named Volumes: deklarativ, portabel, kontrolliert

Named Volumes werden von Podman verwaltet und befinden sich im Volume-Pfad des Storages:

• Root-Modus: /var/lib/containers/storage/volumes/<name>
• Rootless-Modus: ~/.local/share/containers/storage/volumes/<name>

Ein Volume wird erzeugt über:

podman volume create data

Einsatz im Container:

podman run -v data:/var/lib/db mydb

Eigenschaften:

• unabhängig vom Containerlebenszyklus
• einfach zu sichern
• leicht zu versionieren (über Snapshotting oder Kopieren)
• isoliert von Host-Verzeichnissen
• konsistente Ownership-Regeln

Named Volumes eignen sich hervorragend für persistente Datenhaltung in Produktions- und CI-Workflows.

48.2.2 Bind Mounts: direkte Host-Integration

Bind Mounts verbinden ein Host-Verzeichnis mit einem Container-Verzeichnis:

podman run -v /srv/data:/var/lib/db mydb

Eigenschaften:

• direkter Zugriff auf Host-Dateien
• volle Kontrolle über Pfade
• potenziell unsicherer bei untrusted Workloads
• abhängig vom Host-Dateisystem
• ideal für Entwicklungsumgebungen

Bind Mounts sind das Äquivalent zur „festen Verdrahtung“ zwischen Container und Host. Sie liefern Flexibilität, sind aber weniger portabel als Named Volumes.

48.2.3 Anonymous Volumes: temporär, aber persistent bis Cleanup

Ein Container erzeugt ein anonymes Volume, wenn ein Volume-Mount angegeben wird, ohne einen Namen zuzuweisen:

podman run -v /var/lib/db mydb

Podman erzeugt dann intern ein zufällig benanntes Volume. Es bleibt bestehen, bis:

• der Container gelöscht wird und
• podman volume prune oder explizite Deletes ausgeführt werden

Diese Volumes sind praktisch für temporäre Arbeitslasten, aber riskant für langfristige Datenhaltung, da sie schwer auffindbar sind.

48.3 Persistenzmodell: Was lebt wo?

Das Zusammenspiel von Container und Volume lässt sich einfach darstellen:

Daten im Container-Layer: flüchtig Daten im Volume: persistent Daten im Image: unveränderlich

Diese Trennung erzeugt ein dreistufiges Persistenzmodell, das Sicherheit und Reproduzierbarkeit strukturiert.

48.4 Volume Ownership und UID/GID-Mapping

Im Rootless-Modus ist Volume-Ownership nicht trivial. Podman setzt User-Namespace-Mappings ein:

• Container-UID 0 → Host-UID 100000 (Beispiel)
• Container-GIDs werden analog gemappt

Das bedeutet:

• Container sehen sich selbst als root
• Host sieht User aus UID-Ranges
• Rechte müssen über Mapping-Mechanismen kompatibel sein

Das erklärt klassische Fehlermeldungen: „permission denied“ beim Schreiben in rootless Volumes.

Best Practice:

• innerhalb des Volumes dedizierte Nutzer anlegen
• UID 1000/1001 bevorzugen
• Host-Pfade vorab mit passenden UIDs initialisieren

Volumes sind damit nicht nur Speicherorte, sondern auch Ownership-Domänen.

48.5 Performanceverhalten verschiedener Volume-Typen

Die Speicherperformance variiert stark:

48.5.1 Named Volumes (overlayfs/fuse-overlayfs)

• geeignet für regelmäßige Schreibvorgänge
• Root-Modus schnell
• Rootless-Modus abhängig von fuse-overlayfs

48.5.2 Bind Mounts

• direkter Hostzugriff
• meist die beste I/O-Performance
• abhängig vom Host-Dateisystem
• perfekt für große Datenmengen oder Build-Artefakte

48.5.3 tmpfs

Podman unterstützt tmpfs-Mounts:

podman run --tmpfs /cache:size=512m ...

• extrem schnell (RAM-basiert)
• nicht persistent
• ideal für Compiler- oder Cache-Verzeichnisse

48.6 Lifecycle-Verhalten

Volumes leben unabhängig von Containern. Ein häufiger Fehler in der Praxis:

• Container wird gelöscht
• Volume bleibt bestehen
• ungenutzte Daten sammeln sich an

Der Zustand eines Systems kann man sauber inspizieren:

podman volume ls
podman volume inspect data

Für automatische Bereinigung:

podman volume prune

Aber Vorsicht: prune ist destruktiv.

48.7 Volume-Mount-Strategien für produktionsnahe Anwendungen

Einige Muster haben sich etabliert:

48.7.1 Datenbank-Apps

• Named Volume für Daten
• keine Bind Mounts
• explizite Backup- und Snapshot-Strategien

48.7.2 Buildpipelines

• Bind Mounts für Quellcode
• tmpfs für Cache
• Named Volumes für Zwischenergebnisse

48.7.3 Microservices

• Volumes nur, wenn wirklich nötig
• Logfiles an stdout statt in Volumes
• Geheimnisse niemals in Volumes persistieren

48.7.4 Messaging- und Queue-Systeme

• Named Volumes, die isoliert vom Host liegen
• Volume Ownership explizit setzen

48.8 Volume-Troubleshooting

Typische Fehlerbilder und ihre Ursachen:

48.8.1 „permission denied“

• Rootless User Namespace mappt UID falsch
• Host-Verzeichnis hat falsche Rechte
• SELinux (im Root-Modus) blockiert Zugriff

48.8.2 Volume wird nicht gemountet

• falscher Mountpoint
• Bind-Mount verweist auf nicht existierenden Host-Pfad
• Netzwerkvolume nicht verfügbar

48.8.3 Daten verschwinden nach Neustart

• Daten wurden in Container-Layer, nicht ins Volume geschrieben
• Volume-Pfad im Container falsch definiert
• Anonymous Volume erzeugt statt Named Volume

48.8.4 Volumes wachsen unkontrolliert

• Logfiles werden persistiert
• Caches landen im Volume statt im Container-Layer
• Multi-Stage-Build erzeugt mehr Artefakte als erwartet

48.9 Volumes als Architekturkomponente

In containerisierten Systemen ist die Persistenzfrage nicht sekundär, sondern ein Strukturthema. Volumes entscheiden darüber:

• ob ein Service stateless oder stateful ist
• wie reproduzierbar Deployments sind
• ob Updates sicher oder riskant sind
• wie Migrationen ablaufen
• welche Backup- und Restore-Mechanik nötig ist

Volumes sind keine Nebenfunktion – sie sind die tragende Grundlage jeder Anwendung, die Daten über die Lebensdauer eines Containers hinaus benötigt.