64 Netzwerkbesonderheiten

Die Netzwerkarchitektur von Podman unterscheidet sich in mehreren Punkten deutlich von derjenigen klassischer Docker-Installationen – und in manchen Bereichen sogar fundamental. Das liegt nicht an Designexzentrik, sondern an einem bewussten Architekturprinzip: Podman ist daemonlos. Dadurch muss Networking nicht für einen zentralen Dienst abstrahiert werden, sondern kann sich direkter an den Linux-Kernel anlehnen. Statt „magischer“ Bridges und von der Engine manipulierten IPTables-Kaskaden baut Podman auf klaren, nachvollziehbaren Komponenten wie Netavark, Aardvark-DNS und systemnaher Namespace-Verwaltung auf.

Wer Podman produktionsnah nutzen möchte, sollte gerade diese Besonderheiten verstehen. Nicht, um Umgehungslösungen zu konstruieren, sondern um Podmans Netzwerkmodell bewusst auszunutzen – und typische Fallstricke zu vermeiden.

64.1 Netavark: das Herzstück der Container-Netzwerke

Netavark ist das Netzwerkbackend moderner Podman-Versionen. Im Gegensatz zu Docker, das standardmäßig mit einer Bridge arbeitet und IPTables-Regeln dynamisch einpflegt, verfolgt Netavark ein deterministischeres Konzept:

• Netzwerke werden als deklarative Objekte definiert
• IP-Adressen, Subnetze und Gateways werden stabil verwaltet
• NAT-Regeln werden explizit generiert
• Routing ist vorhersehbarer und klarer strukturiert
• DNS wird durch Aardvark separat abgewickelt

Netavark verzichtet bewusst auf Docker-typische Komfortabstraktionen und setzt stattdessen auf eine konzeptionell saubere Netzwerkstruktur, die sich hervorragend für Pods, Compose-Projekte und Single-Host-Setups eignet.

Ein einfaches Beispiel eines Podman-Netzwerks:

podman network create --subnet 10.5.0.0/24 mynet

Netavark erzeugt nun ein vollständiges, isoliertes Netzwerk mit eigener Bridge und deterministischem DNS-Setup.

64.2 Aardvark-DNS: eigenes DNS-System für Container

Während Docker DNS über den Daemon und die interne Bridge löst, setzt Podman auf einen dedizierten DNS-Server: Aardvark-DNS.

Eigenschaften:

• läuft ohne Daemon im Podman-Kontext
• wird pro Netzwerk gestartet
• speichert Namen und IPs der Container in einer JSON-Datei
• fester und zuverlässiger als Docker-DNS
• keine Race Conditions beim Container-Start

Für Entwickler bedeutet das:

• Container können sich immer per Name finden
• DNS-Auflösung ist deterministisch
• es gibt weniger undurchsichtige IP-Konflikte
• keine Abhängigkeit vom Host-internen DNS

64.2.1 Typische Auflösung

Ein Container mit Name app im Netzwerk internal ist erreichbar unter:

app.internal

Innerhalb des Pods zusätzlich unter:

localhost

64.3 Besonderheit 1: Container in Pods teilen sich dieselbe IP

Das ist einer der wichtigsten Unterschiede zu Docker:

• Docker: Jeder Container hat seine eigene IP.
• Podman (bei Pods): Der Pod hat eine IP, Container darin teilen sich Netzwerknamespace und IP.

Das bedeutet:

• Kommunikation innerhalb des Pods immer über localhost
• Ports dürfen innerhalb eines Pods nicht doppelt belegt sein
• Firewall-Regeln gelten auf Pod-Ebene, nicht pro Container
• Load Balancing auf Netzwerkebene entfällt

Diese Semantik ist Kubernetes sehr ähnlich – mit einer klaren und sauberen Netzwerkabstraktion.

64.3.1 Visualisierung

Diese Struktur ist ideal für Sidecar-Architekturen, Debug-Container und Multi-Prozess-Systeme.

64.4 Besonderheit 2: Rootless Networking ist fundamental anders

Rootless Betrieb ist eine Schlüsselstärke von Podman – aber rootless Networking basiert nicht auf Kernel-Bridging. Der Grund ist einfach: Das Erstellen von Bridges, TUN/TAP-Geräten und Routed Interfaces erfordert CAP_NET_ADMIN.

Stattdessen setzt Podman Rootless auf:

64.4.1 slirp4netns

• Benutzerraum-NAT
• funktioniert ohne Privilegien
• vergleichsweise geringe Performance
• transparent für die meisten Szenarien

64.4.2 Einschränkungen

• keine echten Bridges
• keine statischen Container-IPs (sie sind pseudo-statisch)
• geringer Durchsatz bei I/O-intensiven Anwendungen
• Host networking steht nicht zur Verfügung

64.4.3 Praxismuster

Rootless ist ideal für:

• Entwicklung
• CI-Jobs
• Multi-User-Systeme
• Desktop-Maschinen

Nicht ideal für:

• Hochlast-Systeme
• Netzwerk-intensive Workloads (Proxy, Datenbanken, Message-Broker, etc.)

64.5 Besonderheit 3: Host-Netzwerk unter Podman ≠ Hostnetz unter Docker

Docker erlaubt:

--network=host

Rootless Podman dagegen:

• bietet das Flag an
• aber die Linux-Beschränkungen gelten weiterhin
• rootless Containers können keine echten Host-Netzwerkinterfaces übernehmen

Rootful Podman verhält sich dagegen identisch zum Linux-Host.

64.6 Besonderheit 4: Port-Mapping ist Pod- statt Container-bezogen

Weil Pods eine IP besitzen, wird Port-Mapping immer auf den Pod angewendet.

Beispiel:

podman run -p 8080:80 app

Wenn app in einem Pod läuft, wird der Port an den Infrastrukturcontainer des Pods gemappt – nicht an den Applikationscontainer.

Konsequenzen:

• Portkollisionen im Pod sind fatal
• Compose-Projekte müssen Ports sauber trennen
• Debugging wird einfacher: ss -tnlp auf dem Host zeigt Pod-bezogene Ports

64.7 Besonderheit 5: Netzwerke müssen explizit definiert werden

Docker erzeugt ständig implizite Netzwerke. Podman nicht.

Die Default-Bridge existiert zwar, aber:

• benutzerdefinierte Netzwerke sind klarer
• Compose-Projekte erzeugen definierte Netze
• DNS und Routing sind deterministisch

Viele Probleme verschwinden, sobald man Netzwerke sauber modelliert:

podman network create backend
podman network create frontend

64.8 Besonderheit 6: Keine automatische IPAM-Magie

Podman nutzt ein einfaches, aber robustes IPAM-Modell:

• jede Bridge bekommt Subnet, Gateway, DNS
• keine containerübergreifenden Konfliktlösungen
• bei Subnetz-Kollisionen muss der Nutzer aktiv handeln

Das vermeidet Automagie, zwingt aber zu klaren Entscheidungen.

64.9 Besonderheit 7: Firewall-Interaktionen sind transparent

Podman verwaltet iptables/nftables-Regeln explizit.

Typische Konsequenzen:

• externe Firewalls können Podman blockieren
• nft/iptables-Mischumgebungen erzeugen Fehler
• die Regeln sind sichtbar, nicht versteckt

Beispiel, um Networking zu untersuchen:

sudo nft list ruleset

Für Administratoren ist das ein Vorteil: keine Blackbox, keine Dämon-Abhängigkeit.

64.10 Besonderheit 8: Multi-Netzwerk-Container funktionieren, aber bewusst

Container können mehreren Netzwerken angehören:

podman network connect backend app

Allerdings:

• Pods tragen nur eine primäre IP
• zusätzliche Netzwerke werden über zusätzliche Interfaces realisiert
• DNS-Einträge sind netzabhängig

In komplexeren Architekturen können diese Details relevant werden.

64.11 Netzwerkbesonderheiten sind kein Fehler — sondern ein Feature

Podmans Netzwerkmodell ist transparenter, systemnäher und näher an Kubernetes als an Docker. Deshalb fühlt es sich beim ersten Kontakt teils „rauer“, aber auch ehrlicher an:

• keine versteckten Bridges
• keine intransparente NAT-Magie
• kein zentraler Netzwerkdaemon
• DNS über dedizierte Instanz statt Docker-Daemon
• Pods als echte Netzwerk-Namespace-Einheiten
• rootless Umsetzung über Benutzerraum-NAT

Für moderne Architekturen ist genau diese Klarheit ein Vorteil: Man versteht, was passiert – und kann dadurch bewusst gestalten, statt sich an Container-Zauberei abzuarbeiten.