109 votos

¿Cómo manejar las actualizaciones de seguridad dentro de contenedores, estibador?

Cuando el despliegue de aplicaciones en servidores, normalmente hay una separación entre lo que la aplicación de paquetes con sí mismo y de lo que se espera de la plataforma (sistema operativo y los paquetes instalados) para proporcionar. Un punto de esto es que la plataforma puede ser actualizado de forma independiente de la aplicación. Esto es útil por ejemplo cuando las actualizaciones de seguridad se deben aplicar con urgencia a los paquetes proporcionados por la plataforma sin necesidad de recompilar la aplicación completa.

Tradicionalmente las actualizaciones de seguridad se han aplicado simplemente mediante la ejecución de un paquete de comandos de administrador para instalar versiones actualizadas de los paquetes en el sistema operativo (por ejemplo, "yum update" en RHEL). Pero con el advenimiento de la tecnología de contenedores, tales como la ventana acoplable donde contenedor de imágenes esencialmente paquete de la aplicación y la plataforma, ¿cuál es la canónica de manera de mantener un sistema de contenedores hasta la fecha? El host y los contenedores tienen sus propios, independientes, conjuntos de paquetes que necesitan actualización y actualización en el host no actualización de los paquetes en el interior de los contenedores. Con el lanzamiento de red hat enterprise linux 7, donde los contenedores Docker son especialmente destacados, sería interesante escuchar lo que Redhat la mejor manera de administrar las actualizaciones de seguridad de los contenedores.

Reflexiones sobre algunas de las opciones: Dejar que el gestor de paquetes de paquetes de actualización en el host no los paquetes de actualización en el interior de los contenedores. Tener que volver a generar todos contenedor de imágenes para aplicar las actualizaciones parece romper la separación entre la aplicación y la plataforma (actualización de la plataforma requiere el acceso a la aplicación el proceso de construcción de la cual se genera la ventana acoplable imágenes). Ejecución manual de los comandos en el interior de cada uno de los contenedores operativos parece engorroso y los cambios están en riesgo de ser sobreescritos la próxima vez que los contenedores se actualiza a partir de la versión de la aplicación de los artefactos. Por ello, ninguno de estos enfoques parece satisfactorio.

45voto

Johannes Ziemke Puntos 411

Una aplicación de paquetes de imágenes de Docker y "plataforma", eso es correcto. Pero generalmente la imagen se compone de una imagen de base y la aplicación real.

Así la forma canónica de gestionar las actualizaciones de seguridad actualizar la imagen base, luego reconstruir la imagen de su aplicación.

7voto

Paul R Puntos 44

Los contenedores deben para ser intercambiables y ligero. Si su envase tiene un problema de seguridad, reconstruir una versión del contenedor que está parcheado y desplegar el nuevo contenedor. (muchos envases utilizan una imagen base estándar que usan herramientas de gestión de paquetes estándar como apt-get para instalar sus dependencias, reconstrucción jalará las actualizaciones desde los repositorios)

Mientras que podría arreglar dentro de contenedores, no va a escala bien.

0voto

Ben Grissinger Puntos 11

Primero de todo, muchas de las actualizaciones que tradicionalmente se ejecutó en el pasado simplemente no estar dentro del mismo contenedor. El recipiente debe ser bastante ligero y pequeño subconjunto de la totalidad del sistema de archivos de su acostumbrados a ver en el pasado. Los paquetes que debe tener para actualizar serían aquellos que son parte de su DockerFile, y ya que tienes el DockerFile, usted debería ser capaz de mantener un seguimiento de los paquetes y el Id de contenedores que necesitan actualizaciones. Cloudstein de la interfaz de usuario que será lanzado pronto realiza un seguimiento de estos DockerFile ingredientes para usted de modo que uno puede construir la actualización de esquema que mejor se adapte a sus contenedores. Espero que esto ayude

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: