在停靠映像中包含依赖项

Question

我正在学习对接从链接在学习视频课。这里提到的培训师如下

在项目中包括安装程序。五年后，您的项目的0.18版本的安装程序将不再可用。包括它。如果你依赖一个软件来建立你的形象，检查它到你的形象。

如何将依赖关系签入我的图像中？我的理解是，如果我们通过下面这样的命令来构建图像软件。

FROM ubuntu:14.0

我们已经下载了ubuntu软件14.0版本并创建了映像。为什么培训师提到14.0版不可能在5年后下载？我的理解是对的。

谢谢你花时间澄清

Answer 1

我很难理解LinkedIn老师想要解释什么。

对于DockerHub上不再可用的图像，通常会在删除它们之前进行多年的预先警告。例如，.Net核心2.1

人们(和公司)应该投入时间来摆脱不安全的遗留软件，这是不需要考虑的。如果一位在线老师说pin Ubuntu 14是因为你在2028年可能需要它，我认为这种糟糕的做法，而不是一个体面的工程师曾经渴望做的事情。

您的代码所做的是要求一个带有标记14的Ubuntu图像，这样您就可以搜索这里来查看结果。最近，对14.04进行了推送和扫描，以查找log4js (一个巨大的安全漏洞)，恢复正常，这是很棒的。另一方面，14.04.1是7年前推出的，显然没有得到维护。

大多数公司所做的一件事就是将图像推送到ECR/Artifactory/DockerHub/等等，这样你就可以拉码头，比如说ubuntu:14.04，然后码头把它推到你自己的容器注册中心，你就可以永远拥有它了。在本例中，您可以将您的私有注册表添加到停靠库中，这样它就可以发现图像或使用像my-company-images@artifactory-company.com/ubuntu:14.04这样的自定义URL。

https://docs.aws.amazon.com/AmazonECR/latest/userguide/Registries.html