В связи с тем, что docker широко шагает по планете, и разработчики под Linux особенно сильно его любят, у меня, как у админа-разработчика возник ряд вопросов:
1) Как обновлять библиотеки внутри docker-контейнера? Предположим, у нас на сервере 9000 контейнеров. На самом сервере библиотеки, предположим также, обновляются apt-get upgrade'ом. А внутри контейнеров?
2) Что произойдёт с тем ПО, которое слинковано с библиотеками, если их там в контейнере обновить?
3) А если в библиотеке критическая уязвимость, которую нужно было устранить день назад, то что делать с 2137-ю контейнерами, в которых библиотека (положим, openssl) используется?
4) А что делать, если обновилось ядро системы (бывает такое), а библиотека использует какие-то особенности ядра - старого ядра особенности, которых нет в новом ядре? Ситуация гипотетическая конечно, но бьюсь об заклад, что современная GLibC даже с ядром 2.4 работать не будет, не то что с 2.2, например. А часики тикают, а в контейнерах - безоблачное небо
5) А что мешает разработчикам всё-таки собирать бинарные пакеты? Что принципиально мешает?
Спасибо!
