在我当前的服务器上,我使用无人值守升级来自动处理安全更新.
但我想知道人们会建议在Docker容器内工作.
我为我的应用程序的每个服务运行了几个docker容器.
我应该在每个设备中进行无人值守升级吗?或者可以在本地升级它们并推送升级的映像?还有其他想法吗?
有没有人在制作中有这方面的经验呢?
最佳答案
我会像你之前那样
自动更新.我目前有Stage容器,而Prod还没有.但是,对每个容器应用更新没有什么害处:一些冗余的网络活动,如果你有多个基于同一图像的容器,否则无害.
重建容器给我带来了不必要的时间,并涉及更复杂的过程.
WRT时间:
重建的时间被添加到更新所需的时间,因此在这个意义上它是“额外的”时间.如果您有容器的启动过程,则必须重复这些过程.
WRT复杂性:
一方面,您只需使用apt运行更新.另一方面,您基本上充当集成服务器:步骤越多,出错的就越多.
此外,更新不会创建“黄金图像”,因为它很容易重复.
最后,由于内核实际上并未实际更新,因此您无需重新启动容器.