假设我有以下docker层:
客户正在运行包含以上所有内容的映像。 如果其中一个层存在紧急安全性或任何其他紧急更新,则最佳实践是什么。
例如: 在os层上需要紧急的安全更新,客户不能等到我们完成整个CI / CD并通过另一个docker映像验证更改后。
我的假设是为客户提供一个选项,使其可以自己进行更新,并在其本地docker repo上使用更新后的os更新映像,而其余所有都保持不变。 似乎要求很高,是否有其他选择或最佳做法?
答案 0 :(得分:1)
一般建议是确保您提供的容器是无状态的(可以使用卷来存储数据)。这使得更新图像的过程成为停止旧容器并启动更新容器的问题。
您的客户可以在目标容器上使用docker exec来应用快速修复,直到为他们提供新图像,或者您可以托管带有新图像的链接以供他们拉取并更新自己。
除此之外,我认为该过程没有标准。