Mar*_*ler 135 security linux redhat containers docker
将应用程序部署到服务器上时,应用程序与其自身捆绑的内容与它期望从平台(操作系统和已安装的包)提供的内容之间通常存在分离。其中一点是平台可以独立于应用程序进行更新。例如,当需要将安全更新紧急应用于平台提供的包而不重建整个应用程序时,这很有用。
传统上,安全更新只是通过执行包管理器命令来在操作系统上安装更新版本的包(例如 RHEL 上的“yum update”)来应用的。但是随着容器技术的出现,比如 Docker,其中容器镜像本质上同时捆绑了应用程序和平台,保持容器系统最新的规范方法是什么?主机和容器都有自己的、独立的、需要更新的包集,在主机上更新不会更新容器内的任何包。随着 RHEL 7 的发布,其中 Docker 容器特别突出,听到 Redhat 推荐的处理容器安全更新的方法是很有趣的。
关于几个选项的想法:
所以这些方法似乎都不令人满意。
Joh*_*mke 57
Docker 镜像捆绑了应用程序和“平台”,这是正确的。但通常图像是由基础图像和实际应用程序组成的。
因此,处理安全更新的规范方法是更新基础映像,然后重建应用程序映像。
小智 7
容器应该是轻量级和可互换的。如果您的容器存在安全问题,您可以重建已打补丁的容器版本并部署新容器。(许多容器使用标准基础镜像,使用标准包管理工具如 apt-get 来安装它们的依赖项,重建将从存储库中提取更新)
虽然您可以在容器内打补丁,但这不会很好地扩展。