„Ich nutze Docker-Container und möchte sie möglichst aktuell halten. Wie aktualisiert man denn das Betriebssystem innerhalb des Containers?
„Wir nutzen Docker-Container (sowohl für Windows, als auch für Linux) und würden die natürlich gern aktuell halten. Wie aktualisiert man denn das Betriebssystem innerhalb des Containers? Mit einem Cronjob?“
Gar nicht. Container sind keine VMs, die man aktualisiert und pflegt. Container sind flüchtig – Änderungen im Container, etwa eine Aktualisierung des Betriebssystems, verschwinden sofort, wenn der Container ersetzt wird. Anstatt Container zu pflegen, sollten sie regelmäßig aus einem frischen Abbild ersetzt werden. Wenn Sie ein eigenes Dockerfile für Ihre Software gebaut haben, steht das Basis-Abbild, meist das Betriebssystem, ganz am Anfang. Mit docker build --no-cache starten Sie einen neuen Bauprozess und laden das frische Abbild vorher aus der Registry. Am besten übergeben Sie diese Aufgabe einer CI/CD-Lösung, die automatisch regelmäßig baut. Beim automatischen Ersetzen von Containern durch neue helfen Werkzeuge wie Ouroboros.
Viele Sicherheitsupdates werden übrigens auch ohne Neubau des Containers angewendet: Weil Container anders als VMs den Kernel des gastgebenden Betriebssystems nutzen, müssen Sie darauf achten, dass dieses stets aktuell ist.(jam)
Quelle: c‘t
„Wir nutzen Docker-Container (sowohl für Windows, als auch für Linux) und würden die natürlich gern aktuell halten. Wie aktualisiert man denn das Betriebssystem innerhalb des Containers? Mit einem Cronjob?“
Gar nicht. Container sind keine VMs, die man aktualisiert und pflegt. Container sind flüchtig – Änderungen im Container, etwa eine Aktualisierung des Betriebssystems, verschwinden sofort, wenn der Container ersetzt wird. Anstatt Container zu pflegen, sollten sie regelmäßig aus einem frischen Abbild ersetzt werden. Wenn Sie ein eigenes Dockerfile für Ihre Software gebaut haben, steht das Basis-Abbild, meist das Betriebssystem, ganz am Anfang. Mit docker build --no-cache starten Sie einen neuen Bauprozess und laden das frische Abbild vorher aus der Registry. Am besten übergeben Sie diese Aufgabe einer CI/CD-Lösung, die automatisch regelmäßig baut. Beim automatischen Ersetzen von Containern durch neue helfen Werkzeuge wie Ouroboros.
Viele Sicherheitsupdates werden übrigens auch ohne Neubau des Containers angewendet: Weil Container anders als VMs den Kernel des gastgebenden Betriebssystems nutzen, müssen Sie darauf achten, dass dieses stets aktuell ist.(jam)
Quelle: c‘t