Hi 国锋,
22.03-lts镜像的 TMOUT问题似乎并没有修复,我进入容器后查看env,依然能看到TMOUT=300的设置。
Regards, Zhibo
发件人: 贺国锋 heguofeng@openeuler.sh 日期: 星期一, 2022年10月10日 下午12:59 收件人: Zhibo Zhang Zhibo.Zhang@suse.com 抄送: cloudnative@openeuler.org cloudnative@openeuler.org 主题: 回复:答复: 回复:[Cloudnative] openEuler LTS容器镜像更新咨询 Hi 智博, ALL, openeuler的基础容器镜像,除20.03-lts版本外,其他均已经更新并发布到dockerhub 变化点:采用yum update的方式更新了容器镜像中的软件包。 如下这些应用镜像,也已经基于新的基础镜像重新构建并发布。 grafana memcached nginx opengauss-lite openssh-server prometheus rabbitmq postgres python redis node go tomcat
智博提到的关于dockerfile的优化建议,在下次容器镜像更新之前会落实。同时也欢迎感兴趣的同学提PR进行修改。
发件人:"Zhibo Zhang"<Zhibo.Zhang@suse.commailto:Zhibo.Zhang@suse.com> 时间: 2022年10月9日 (周日) 09:52 主题: 答复: 回复:[Cloudnative] openEuler LTS容器镜像更新咨询 收件人:"贺国锋"<heguofeng@openeuler.shmailto:heguofeng@openeuler.sh> 抄送:"cloudnative@openeuler.orgmailto:cloudnative@openeuler.org"<cloudnative@openeuler.orgmailto:cloudnative@openeuler.org> Hi 国锋,
感谢回复!如之前所沟通,我们构建的RFO Kubernetes,非常依赖使用openEuler container image进行最终打包,会对其持续更新情况和安全性有一些需求。
我查了gitee上关于openEuler的dockerfile,通过读README了解到现在使用jenkins做CI。我的一点点建议是:从现在dockerfile的构建形式上看,首先确保docker-rootfs是持续更新的应该是很有必要的。其次,UTC软链接那一行看起来可以在docker-rootfs中处理,在dockerfile中处理有点多余。最后,docker-rootfs需要一个版本机制(时间戳也许就可以),dockerfile中可能需要加一行LABEL,用来标识docker-rootfs的版本号。这样用户拿到一个镜像,整体上是可溯源的。
对于CVE扫描,由于使用docker-rootfs这种模式维护,那么只要报告docker-rootfs CVE就可以了。OCI Image生态里面的CVE扫描工具,目前看还没有能兼容openEuler的。所以,当前阶段能提供docker-rootfs的CVE扫描结果,已经可以满足需求。
对应面向OCI Image的CVE扫描工具,如上次例会讨论,能有一个兼容openEuler的工具真的很重要,这是OCI Image生产流程的一部分。我清楚目前还没有这样的工具,一旦安全SIG能提供一套API可读的CVE database,我会在RFO框架下推动让NeuVector Scanner支持扫描openEuler Image。
Regards, Zhibo
发件人: 贺国锋 <heguofeng@openeuler.shmailto:heguofeng@openeuler.sh> 日期: 星期六, 2022年10月8日 下午6:58 收件人: Zhibo Zhang <Zhibo.Zhang@suse.commailto:Zhibo.Zhang@suse.com> 抄送: cloudnative@openeuler.orgmailto:cloudnative@openeuler.org <cloudnative@openeuler.orgmailto:cloudnative@openeuler.org> 主题: 回复:[Cloudnative] openEuler LTS容器镜像更新咨询 Hi,智博, 我是openEuler 社区 CloudNative Sig中目前在做openEuler容器镜像方面的开发。
1. 是否有明确的更新时间点? -- 这个工作正在推进,计划本周完成基础镜像和应用镜像的更新,完成后会邮件通知到大家。
2. 后续是否会有CI机制来进行持续更新? 3. 如何获取每次镜像构建后的CVE扫描结果? -- 这两个工作,线下初步和基础设施团队的同学交流了下,他们也很有意愿来搞这个能力。我们后续可以联合安全SIG和infra SIG的同学们来一起看下这个事情怎么做比较好。如果智博这边有比较好的建议或者方案,也请不吝指教。 发件人:"Zhibo Zhang"<Zhibo.Zhang@suse.commailto:Zhibo.Zhang@suse.com> 时间: 2022年10月8日 (周六) 16:04 主题: [Cloudnative] openEuler LTS容器镜像更新咨询 收件人:"cloudnative@openeuler.orgmailto:cloudnative@openeuler.org"<cloudnative@openeuler.orgmailto:cloudnative@openeuler.org> Hi Team,
我只来自SUSE & Rancher的张智博,这里有关于openEuler LTS容器镜像更新的问题。
对于22.03-lts这种容器镜像,我在最近一次例会上得知,维护组会推动更新镜像以消除一些CVE以及修复TMOUT问题。
1. 是否有明确的更新时间点? 2. 后续是否会有CI机制来进行持续更新? 3. 如何获取每次镜像构建后的CVE扫描结果?
Regards, Zhibo