Forum Linux.général Docker

Posté par (page perso) . Licence CC by-sa
Tags :
6
5
juil.
2014

Bonjour,

Je m'adresse à vous et à vos expériences car j'ai quelques questions à propos de docker. J'ai découvert docker il y a moins d'une semaine, et j'ai passé cette dernière à expérimenté et à tester un petit peu (tout en lisant la doc).

Le principe de docker est d'encapsuler chaque application (un site, la base de données, le serveur de mail) dans des containers séparés. Comme LXC, au lieu de fonctionner sous forme de machine virtuelle, l'isolation se fait au niveau du noyau linux.

Le problème que j'ai est par contre le suivant : les mises à jours de sécurité.

Sur le site il conseil fortement de construire le Dockerfile en renseignant le numéro de version de chaque paquet, car ils utilises un système de cache (la même commande exécuté deux fois aura le même résultat, même si le paquet a été mis à jours). Du coup cela risque de bloquer les mises à jours.

Actuellement je n'ai qu'un serveur fait à l'ancienne, et je vais sur ce serveur régulièrement faire un aptitude update ; aptitude safe-upgrade ou full-upgrade selon (après avoir un reçus un mail de sécurité indiquant qu'il y a des paquets que l'on peut mettre à jour). Le problème se pose alors pour les containers. Comment les mettre à jours facilement ? Cela fait autant de machine qu'il y a de container. Comment géré vous cela ? Faites-vous les mises à jours automatiquement ? Continuez-vous à les faire manuellement ?

Je suppose qu'avec LXC vous avez le même problème ?

Merci

  • # Ca dépend juste de comment tu compte gérer les dépendances

    Posté par . Évalué à 3.

    Bien qu'on puisse figer les versions des paquets ca implique que tu doive le gérer toi même.
    De ce que je comprend de docker, le plus simple est de faire des conteneur en tagguant chaque paquet comme étant à la version "latest". Ainsi tout sera mis à jour lorsque d'une reconstruction des conteneurs, ce qui peut être fait régulièrement.
    Il faut alors re-tester son application (tests unitaires).
    LXC est un système de cloisonnement d'application (sur lequel se base docker d'ailleurs) et rien d'autre, il n'y a pas de concept de 'mise à jour'

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.