Dockerを実行しているUbuntuホストがあるとしましょう。
このホストには、FROM
ubuntu、alpine、java:8 ...などのさまざまな基本イメージ()を使用して実行されている多くのコンテナが含まれています。
ホストには手作りの画像も含まれています。
今日はすべてのコンテナを停止、削除、再作成できました。画像にはデータは保存されません(コンテナを送信しません)。したがって、私のデータを失うことは問題ではありません。画像が同じままである限り、サービスを再起動しても問題はありません。
Linuxカーネルに影響を与える脆弱性が発見されたとします。
ホストが脆弱にならないようにホストOSを更新しました。 Dockerコンテナはホストのカーネルを使用して実行されますが、それで十分ですか?コンテナがこの脆弱性の影響を受けないようにするには、どのような予防措置と措置を講じる必要がありますか?
答え1
Dockerコンテナはホストカーネルを使用するためです。ホストカーネルが更新されたら、コンテナに問題がないはずです。
図書館の問題は別の話です。たとえば、Opensslはコンテナとホストが異なる可能性があるため、アップグレードする必要があるライブラリです。
apt-get update && apt-get -q -y upgrade
Dockerfileの上部にそれを追加することをお勧めします。したがって、定期的にイメージを構築する必要があります。
公式イメージを使用している場合は、定期的にインポートしてコンテナをアップグレードすることをお勧めします。 docker-composeを使用する場合:
docker-compose pull && docker-compose up -d
それはそれらをアップグレードします。通常のドッカーの場合は引っ張る必要があります。コンテナを削除し、同じボリュームを指す新しいコンテナを作成します。
docker pull image
docker stop containerid && docker rm containerid
docker run image ....
挨拶