Docker-Images in On-Premises-Umgebungen mit isolierten Netzwerken effizient verwalten

In Unternehmensumgebungen wird Docker aus Sicherheitsgründen häufig in isolierten Netzwerken ohne externen Internetzugang betrieben. In solchen Umgebungen müssen beim Aktualisieren oder Neuverteilen von Images Image-Dateien, die extern mit docker save gespeichert wurden, manuell übernommen und mit docker load geladen werden.
Wenn ein Image jedoch mehrere GB groß ist, entsteht die Ineffizienz, dass selbst bei kleinen Änderungen das gesamte Image erneut übertragen werden muss.

Docker-Images bestehen aus mehreren schreibgeschützten Layern. Identische Layer werden von mehreren Images gemeinsam genutzt, ohne doppelt gespeichert zu werden. Dank dieser Struktur reicht es aus, nur die geänderten Layer zu übertragen, während der Rest aus dem Cache wiederverwendet werden kann.

Da automatisches Caching in isolierten Netzwerken schwierig ist, wird eine Strategie verwendet, bei der nur die geänderten Layer separat gebündelt und übertragen werden. Zur Automatisierung wurde das Python-basierte Tool docker-diff entwickelt, das im compare-Modus und im merge-Modus jeweils Vergleich und Zusammenführung ausführen kann.

In Umgebungen, in denen Images häufig aktualisiert werden, lassen sich durch inkrementelle Updates Netzwerkressourcen und Zeit sparen sowie Zuverlässigkeit und Geschwindigkeit der Bereitstellung verbessern.
Wenn möglich, wird empfohlen, auch die Erstellung, Übertragung und Zusammenführung inkrementeller Pakete zu automatisieren, um Fehler zu reduzieren und die Stabilität zu erhöhen.

https://blog.sionic.ai/enterprise-update-docker-strategy