Насколько распространен общий доступ к библиотеке между контейнерами и хостом?

Question

Я исследую общие библиотеки между контейнерами с точки зрения безопасности.

Во многих ресурсах безопасности обсуждается сценарий общей библиотеки, где контейнеры имеют общую ссылку на зависимость (то есть тот же файл), я могу предложить два сценария:

1. Фактически обсуждаемый сценарий - где некий каталог lib монтируется с хост-машины в контейнер
2. Придуманный сценарий - когда общий том создается для разных контейнеров (разных служб, реплицируемого набора одного и того же контейнера или обоих) и заполняется библиотеками, которые совместно используются всеми контейнерами.

Несмотря на обсуждения, я не смог найти такого рода поведение в реальном мире, поэтому возникает вопрос: насколько распространен этот подход?

Ссылка на официальное и известное изображение, использующее эту технику, была бы великолепна!

Answer 1

Это вообще не считается лучшей практикой вообще.Один образ Docker должен быть автономным и включать весь код приложения и библиотеки, необходимые для его запуска.Так что кроме вопросов, я никогда не сталкивался с образом Docker, который предлагает использовать тома для вставки любого кода в контейнеры.

(Единственное исключение - изображение node; часто возникает вопрос SO об использованиианонимный том для node_modules каталогов [TL; DR: изменения в package.json никогда не обновляют том], но даже тогда он пытается избежать совместного использования дерева библиотек с другими контекстами.)

Одним из полезных методов является создание промежуточного базового образа, который содержит некоторый набор библиотек, а затем создание приложения поверх этого.На механическом уровне, для конкретной версии образа ubuntu:18.04, я думаю, что все другие образы, основанные на этом, используют физически тот же libc.so.6, но с точки зрения Docker это деталь реализации.