Обновление безопасности для образа докера на производстве клиента

Question

Допустим, у меня есть следующие уровни докера:

1. Os
2. jre
3. сервер приложений
4. приложение.

Клиент запускает изображение, содержащее все вышеперечисленное.Какова лучшая практика в случае, если на одном из уровней есть срочное обеспечение безопасности или любое другое срочное обновление.

Например: на уровне os требуется срочное обновление безопасности,и клиент не может дождаться, пока мы завершим весь CI / CD и подтвердим изменение другим образом докера.

Я предполагал, что клиенту будет предоставлена ​​возможность обновить его самостоятельно и обновить его на своем локальном компьютере.Докер делает репо с обновленной ОС, а все остальное остается прежним.Кажется, это очень требовательный запрос, есть ли альтернатива или лучшие практики?

Answer 1

Общие рекомендации заключаются в том, чтобы убедиться, что предоставленные вами контейнеры не сохраняют состояния (вы можете использовать тома для хранения данных).Это делает процесс обновления изображений вопросом остановки старых контейнеров и запуска обновленных.

Ваши клиенты могут использовать docker exec для целевых контейнеров, чтобы применить быстрое исправление, пока вы не предоставите им новый образ или не сможете разместить ссылку с новым образом, который они могут извлечь иобновлять себя.

Кроме этого, я не думаю, что есть стандарт для этого процесса.