客户上docker映像的安全更新'；s产品

假设我有以下docker层：

操作系统

jre

应用服务器

应用程序

客户正在运行一个包含上述所有内容的映像。 如果其中一层上有紧急安全或任何其他紧急更新，最佳做法是什么

例如： 操作系统层需要紧急的安全更新，客户不能等到我们完成整个CI/CD并通过另一个docker映像验证更改

我的设想是为客户提供一个选项，让他自己进行更新，并在其本地docker repo上使用更新的操作系统更新映像，其余的都保持不变。

---

这似乎是非常苛刻的要求，是否有任何替代或任何最佳做法

一般建议是确保您提供的容器是无状态的（您可以使用卷来存储数据）。这使得更新图像的过程成为停止旧容器并启动更新容器的问题

您的客户可以使用目标容器应用快速修复，直到您向他们提供新映像，或者您可以托管一个新映像的链接，他们可以提取并更新自己

---

除此之外，我认为这个过程没有标准。

我想你没有完全理解我的问题。这不是一种集群方式，也不是扩展问题。在customer env中，在运行时紧急更新映像只是一种最佳做法。我知道可以通过

docker exec

和之后运行一些更新命令，而不是建立在客户本地回购协议的基础上，但我想知道是否有更好的方法或已知的最佳实践是答案的一部分。我确实说过，您编写的容器应该是无状态的，并且在最后一段中给出了快速修复方法。我将编辑掉额外的信息。