假设我有以下几层 docker:
- 操作系统
- 杰雷
- 应用服务器
- 应用。
客户正在运行包含上述所有内容的映像。如果其中一个层上有紧急安全性或任何其他紧急更新,最佳做法是什么?
例如: 操作系统层需要紧急安全更新,客户不能等到我们完成整个 CI/CD 并通过另一个 Docker 映像认证更改。
我的假设是为客户提供一个自己更新的选项,并使用更新的操作系统更新他的本地 docker 存储库映像,其余部分保持不变。这似乎是一个非常苛刻的要求,是否有任何替代或任何最佳实践?
一般建议是确保您提供的容器是无状态的(您可以使用卷来存储数据(。这使得更新映像的过程成为停止旧容器并启动更新容器的问题。
客户端可以在目标容器上使用 docker exec 来应用快速修复,直到你向他们提供新映像,或者你可以托管包含新映像的链接,他们可以自行拉取和更新。
除此之外,我认为这个过程没有标准。