Docker Engine 升级指南:保障容器安全的关键步骤
无论是为了获得新功能、性能优化,还是更关键的——为了修复重大的安全漏洞(如 runc 漏洞 CVE-2024-21626),定期升级 Docker Engine 都是容器基础设施运维中的一项重要任务。
本篇文章将为您提供一个通用的升级流程,确保您的容器环境保持最新和安全。
⚠️ 升级前的准备工作
在开始升级之前,请务必完成以下关键检查:
- 备份数据:虽然升级通常不会影响容器和镜像数据,但始终建议备份关键的配置文件和数据卷。
- 确认目标版本:检查 Docker 官方文档或安全公告,确认您需要升级到的安全版本或最新稳定版本。
- 示例 (针对 CVE-2024-21626):确保升级到 Docker Engine25.0.3或24.0.8及以上版本。
- SSH 访问权限:确保您拥有服务器的
sudo或root权限。
🛠️ Docker Engine 升级通用步骤
无论您使用的是基于 Debian/Ubuntu 的系统还是基于 Red Hat/CentOS 的系统,升级流程的核心步骤是相似的。
步骤 1: 停止 Docker 服务
首先,您需要优雅地停止 Docker 守护进程,以避免文件冲突并确保升级顺利进行。
sudosystemctl stop docker注意:在某些系统上,您可能会收到关于
docker.socket仍然活动的警告。这通常是正常的,表示systemd仍然可以通过 socket 激活服务,但主服务已经停止,您可以继续升级。
步骤 2: 执行软件包升级
使用您系统对应的包管理器来执行升级命令。这将从您配置的 Docker 官方仓库下载并安装最新的软件包。
🔹 对于 Debian/Ubuntu 系统 (使用apt)
# 1. 更新软件包列表sudoapt-getupdate# 2. 升级 Docker 核心组件sudoapt-getinstalldocker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y🔹 对于 Red Hat/CentOS/Fedora 系统 (使用yum或dnf)
# 1. 更新软件包列表sudoyum update -y# 2. 升级 Docker 核心组件sudoyum upgrade docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y步骤 3: 启动 Docker 服务
升级完成后,重新启动 Docker 守护进程。
sudosystemctl start docker步骤 4: 验证升级结果
使用docker version命令检查您的 Docker Engine 版本是否已成功更新。
docker version请重点查看Server部分下的Version字段。
🔑 最关键的一步:重启运行中的容器
这是修复安全漏洞,尤其是 runc 文件描述符泄漏漏洞 (CVE-2024-21626) 时至关重要的一步。
尽管您已经更新了 Docker Engine 和底层的runc二进制文件,但所有在升级前就已经正在运行的容器,仍然在使用旧的、存在漏洞的runc进程实例。
您必须重启这些容器,以强制它们使用新安装的、已修复的runc版本启动。
您可以使用以下命令批量重启所有容器:
# 1. 获取所有正在运行和已停止的容器 IDCONTAINERS=$(dockerps-aq)# 2. 批量重启容器if[-n"$CONTAINERS"];thenecho"正在重启所有容器,请稍候..."docker restart$CONTAINERSelseecho"没有需要重启的容器。"fi总结
通过遵循停止服务 → 升级软件包 → 启动服务 → 验证版本 → 重启所有容器的流程,您可以确保您的 Docker 环境不仅获得了最新的功能和性能提升,更重要的是,彻底消除了已知的安全风险。定期执行此维护任务,是保障容器化应用安全的第一道防线。