7 Ursprung im CRI-O/OCI-Umfeld

7.1 Ein anderer Ausgangspunkt als Docker

Podman entstand nicht aus dem Bedürfnis heraus, Docker zu ersetzen, sondern aus einem völlig anderen technischen Kontext. Während Docker ursprünglich ein monolithisches Werkzeug war, das Build, Runtime und Distribution vereinte, entstand Podman aus der Arbeit an CRI-O – einer Kubernetes-kompatiblen Container-Laufzeitumgebung, die sich strikt an die Vorgaben der Open Container Initiative (OCI) hält.

Der Ursprung von Podman liegt damit in produktionsorientierten Laufzeitkonzepten für orchestrierte Umgebungen – nicht im klassischen Entwicklerfokus. Dieser Ausgangspunkt prägt das Werkzeug bis heute.

7.2 Kubernetes setzt Grenzen – und fordert Modularität

Mit der Reifung von Kubernetes wurde deutlich, dass dessen Anforderungen nicht zu Dockers Architektur passen. Kubernetes benötigt:

• eine klar definierte, kleine Runtime-Schicht,
• ohne privilegierten Daemon,
• ohne proprietäre APIs,
• ohne Kopplung an ein einzelnes Werkzeug,
• mit der Fähigkeit, Images aus beliebigen Quellen zu laden,
• sowie eine eindeutige Schnittstelle für Status, Logs und Lifecycle.

Docker erfüllte diese Anforderungen nur teilweise. Die Reaktion war die Entwicklung der Container Runtime Interface (CRI): eine bewusst minimal gehaltene Laufzeitschnittstelle. CRI-O wurde als Implementierung dieser Schnittstelle entwickelt – leichtgewichtig, standardkonform, basierend auf OCI.

Podman nutzt dieselben Bibliotheken wie CRI-O und ist damit eng verwandt, allerdings mit dem Ziel, Container auch außerhalb eines orchestrierten Clusters verwalten zu können.

7.2.1 Ein Bild zur Einordnung:

Dieselbe technische Basis, aber zwei unterschiedliche Rollen.

7.3 Die OCI als Fundament

Die Open Container Initiative (OCI) entstand, um proprietäre Formate und Lock-in zu verhindern. Docker dominierte die frühe Containerwelt so stark, dass gemeinsame Standards notwendig wurden, um eine unabhängige Laufzeitlandschaft zu ermöglichen.

Die OCI definierte zwei zentrale Spezifikationen:

• OCI Image Spec Struktur, Layering, Metadaten eines Container-Images.
• OCI Runtime Spec Wie ein Prozess in isolierten Namespaces gestartet wird.

CRI-O wurde entwickelt, um diese Spezifikationen vollständig umzusetzen, ohne zusätzliche Logikschichten oder interne Abweichungen.

Podman entstammt demselben technischen Umfeld. Das führt zu mehreren Eigenschaften:

• strikte Trennung von Build, Transport und Runtime,
• keine proprietären Formate,
• austauschbare Runtimes (runc, crun, Kata),
• klare Orientierung an POSIX- und Linux-Mechanismen,
• ein schlanker, nachvollziehbarer Technologie-Stack.

7.4 CRI-O, Conmon und die Rolle von Podman

Zentrale Komponenten aus dem CRI-O-Umfeld werden direkt auch von Podman genutzt. Besonders wichtig ist Conmon, ein kleines, stabiles C-Programm, das zwischen CLI und Runtime vermittelt.

Conmon übernimmt:

• Überwachung der Containerprozesse,
• Weiterleitung der Log-Streams,
• Management von Terminalverbindungen,
• Bereitstellung der Exit-Codes.

Podman nutzt Conmon auf dieselbe Weise wie CRI-O. Damit ergibt sich ein konsistentes Verhalten:

• Container starten und laufen mit identischer Lifecycle-Logik wie in CRI-O-basierten Umgebungen,
• Logs werden gleich verarbeitet,
• Exit-Codes folgen denselben Semantiken,
• das Prozessmodell bleibt deckungsgleich.

Dadurch ist das Verhalten lokal mit Podman nahezu identisch zu dem Verhalten in Kubernetes-Laufzeitumgebungen.

7.5 Trennung der Werkzeuge: Buildah, Skopeo, Podman

Ein weiteres Erbe aus dem CRI-O/OCI-Kontext ist die klare Modularisierung:

• Buildah – Bauen von Images,
• Skopeo – Kopieren, Signieren und Inspektieren von Images,
• Podman – Ausführen und Verwalten von Containern.

Diese Trennung verhindert die Entstehung eines Monolithen und sorgt dafür, dass jedes Werkzeug eine klar definierte technische Rolle hat. Build-Prozesse können isoliert laufen, Image-Transporte erfolgen ohne Daemon, und Podman bleibt auf seine Laufzeitaufgaben fokussiert.

7.6 Vom Cluster zum Einzelhost – der Weg zu Podman

CRI-O wurde zuerst entwickelt – Podman folgte später. Diese Reihenfolge erklärt mehrere Merkmale der Architektur:

• Rootless-Betrieb als grundlegender Designfaktor,
• vollständige Daemonlosigkeit,
• konsequente OCI-Orientierung,
• ein einfaches, transparentes Prozessmodell,
• keine proprietäre API-Schicht,
• gemeinsame Nutzung der technischen Basis mit CRI-O.

Podman ist kein „CRI-O für Desktop-Nutzer“, sondern ein eigenständiges Werkzeug mit denselben strukturellen Fundamenten.

Ein Vergleich hilft:

• CRI-O: optimiert für Clusterlaufzeiten, orchestrierte Pods und CRI-Anbindung.
• Podman: optimiert für Einzelhosts, lokale Workloads und manuelle Containerverwaltung.

Der Antriebsstrang ist derselbe, aber die Fahrzeuge unterscheiden sich.