假设我有以下几层码头:
客户正在运行包含上述所有内容的图像。如果其中一个层有紧急安全或任何其他紧急更新,最佳做法是什么?
例如:os层需要紧急安全更新,客户不能等到我们完成整个CI / CD并通过另一个docker镜像验证更改。
我的假设是为客户提供自己更新的选项,并在他的本地docker repo上更新带有更新操作系统的映像,其余所有内容保持不变。这似乎是非常苛刻的要求,是否有任何替代或任何最佳做法?
一般建议是确保您提供的容器是无状态的(您可以使用卷来存储数据)。这使得更新图像的过程成为停止旧容器和启动更新容器的问题。
您的客户可以在目标容器上使用docker exec来应用快速修复,直到您为他们提供新图像,或者您可以托管新图像的链接,他们可以自行提取和更新。
除此之外,我认为这个过程没有标准。