假设我使用 Node.js 10.8.0 node:10.8.0-jessie Docker 镜像作为我的应用程序的基础镜像Dockerfile。该应用程序在生产中运行稳定,并且有一段时间(几个月)没有更新。
Node.js10.8.0镜像是基于buildpack-deps:jessie image 的,而image本身也是基于buildpack-deps:jessie-scm image 的。这是基于buildpack-deps:jessie-curl 图像,其基本图像是debian:jessie。
系统/安全更新Debian Jessie会定期发布。在经典的托管环境中,我会使用更新我的主机sudo apt-get update && sudo apt-get upgrade,我很好。
但是如何确保我在容器中运行的 Node.js 应用程序获得最新的Debian Jessie更新和补丁,同时保持在 Node.js 上node:10.8.0-jessie?
在我的 CI 中运行sudo apt-get update && sudo apt-get upgrade我的应用程序Dockerfile并定期为我的应用程序创建一个新映像并重新部署容器并不是正确的方法。
由于这一切都从debian:jessie图像开始,我希望它会定期更新,并且所有相关图像也会更新。
然后我将通过10.8.0再次拉取 Node.js镜像来重建我的应用程序镜像( --no-cache) 并重新部署它。
我的问题是:这个假设正确吗?是否有任何关于该工作流程的官方 Docker 文档对我来说似乎必不可少?我如何获得有关debian:jessie并最终node:10.8.0-jessie 发布映像补丁的通知?
首选工作流程是提取更新的基础映像,或者重建基础映像(如果是本地构建的)。然后重建你的孩子图像。如果可能的话,您运行的唯一命令应该是安装,而不是升级。要修复应用程序的特定版本,请在安装命令中添加该版本依赖项。
出于以下几个原因,这比升级现有映像中的包更可取:
我可能执行升级的唯一情况是上游基础映像未得到维护。最好我会找到一个不同的基础镜像,或者在本地构建它。但是,当这些都不可能时,我可以构建一个本地基础映像,它是未维护的外部基础映像的子级,第一步是升级软件包。在 Dockerfile 中,这看起来像:
FROM scratch as remote-unmaintained
ADD unmaintained.tgz /
FROM remote-unmaintained as local-base
RUN upgrade-cmd
FROM local-base as app
COPY app /
CMD /app
| 归档时间: |
|
| 查看次数: |
2653 次 |
| 最近记录: |