无论是为了获得新功能、性能优化,还是更关键的------为了修复重大的安全漏洞(如 runc 漏洞 CVE-2024-21626),定期升级 Docker Engine 都是容器基础设施运维中的一项重要任务。
本篇文章将为您提供一个通用的升级流程,确保您的容器环境保持最新和安全。
⚠️ 升级前的准备工作
在开始升级之前,请务必完成以下关键检查:
- 备份数据: 虽然升级通常不会影响容器和镜像数据,但始终建议备份关键的配置文件和数据卷。
- 确认目标版本: 检查 Docker 官方文档或安全公告,确认您需要升级到的安全版本 或最新稳定版本 。
- 示例 (针对 CVE-2024-21626): 确保升级到 Docker Engine 25.0.3 或 24.0.8 及以上版本。
- SSH 访问权限: 确保您拥有服务器的
sudo或root权限。
🛠️ Docker Engine 升级通用步骤
无论您使用的是基于 Debian/Ubuntu 的系统还是基于 Red Hat/CentOS 的系统,升级流程的核心步骤是相似的。
步骤 1: 停止 Docker 服务
首先,您需要优雅地停止 Docker 守护进程,以避免文件冲突并确保升级顺利进行。
bash
sudo systemctl stop docker注意: 在某些系统上,您可能会收到关于
docker.socket仍然活动的警告。这通常是正常的,表示systemd仍然可以通过 socket 激活服务,但主服务已经停止,您可以继续升级。
步骤 2: 执行软件包升级
使用您系统对应的包管理器来执行升级命令。这将从您配置的 Docker 官方仓库下载并安装最新的软件包。
🔹 对于 Debian/Ubuntu 系统 (使用 apt)
bash
# 1. 更新软件包列表
sudo apt-get update
# 2. 升级 Docker 核心组件
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y🔹 对于 Red Hat/CentOS/Fedora 系统 (使用 yum 或 dnf)
bash
# 1. 更新软件包列表
sudo yum update -y
# 2. 升级 Docker 核心组件
sudo yum upgrade docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y步骤 3: 启动 Docker 服务
升级完成后,重新启动 Docker 守护进程。
bash
sudo systemctl start docker步骤 4: 验证升级结果
使用 docker version 命令检查您的 Docker Engine 版本是否已成功更新。
bash
docker version请重点查看 Server 部分下的 Version 字段。
🔑 最关键的一步:重启运行中的容器
这是修复安全漏洞,尤其是 runc 文件描述符泄漏漏洞 (CVE-2024-21626) 时至关重要的一步。
尽管您已经更新了 Docker Engine 和底层的 runc 二进制文件,但所有在升级前就已经正在运行 的容器,仍然在使用旧的、存在漏洞的 runc 进程实例。
您必须重启这些容器,以强制它们使用新安装的、已修复的 runc 版本启动。
您可以使用以下命令批量重启所有容器:
bash
# 1. 获取所有正在运行和已停止的容器 ID
CONTAINERS=$(docker ps -aq)
# 2. 批量重启容器
if [ -n "$CONTAINERS" ]; then
echo "正在重启所有容器,请稍候..."
docker restart $CONTAINERS
else
echo "没有需要重启的容器。"
fi总结
通过遵循 停止服务 → 升级软件包 → 启动服务 → 验证版本 → 重启所有容器 的流程,您可以确保您的 Docker 环境不仅获得了最新的功能和性能提升,更重要的是,彻底消除了已知的安全风险。定期执行此维护任务,是保障容器化应用安全的第一道防线。