Início / ubuntu / Perguntas / 1534262
Accepted
AnthonyK
Asked: 2024-11-30 05:59:18 +0800 CST

Por que uma atualização do docker.io exige uma reinicialização do sistema?

  • 772

Recentemente recebi uma notificação para reiniciar meu laptop devido a algumas atualizações. Como sempre verifico o que causou a reinicialização, hoje fiquei surpreso ao descobrir isso:

$ > cat /var/run/reboot-required /var/run/reboot-required.pkgs 
*** System restart required ***
docker.io

Por que uma reinicialização do sistema seria necessária para uma atualização do docker.io? Reiniciar os contêineres não seria suficiente?

Alguma ideia antes de reiniciar?

ATUALIZAÇÃO 1:

O changelog do docker.io tem isto:

docker.io-app (26.1.3-0ubuntu1~24.04.1) noble; urgency=medium

  * Backport from oracular to noble. (LP: #2040461)
    - d/t/docker-in-lxd: workaround Apparmor/kernel bug. (LP #2067900)
    - Update AppArmor template to allow confined runc to kill containers
      (LP: #2065423).
      + d/docker.io.postinst: notify that a reboot is required to apply the
        fix (the AppArmor profile need to be reloaded).

 -- Athos Ribeiro <[email protected]>  Mon, 14 Oct 2024 11:29:26 -0300

Para mim, o postinstprocesso deveria ter reiniciado apparmorem vez de exigir uma reinicialização. Meu pensamento está falho?

24.04

1 respostas

  1. Best Answer

    Veja o ponto c no comentário nº 18 do bug do Launchpad mencionado no changelog para a justificativa:

    c) Assim como com libpod/golang-github-containers-common[1], apenas aplicar a atualização do docker.io-app não consertará o sistema, porque o perfil apparmor é chamado apenas de "docker-default", e ao iniciar um novo contêiner, ele verifica se um perfil com esse nome já está carregado ou não, independentemente de ter sido alterado ou não. Enviaremos um perfil corrigido, mas como ele ainda é chamado de docker-default, ele não será carregado. Aqui, no entanto, verificamos o código e o nome "docker-default" está codificado em alguns lugares, então adicionar um sufixo de versão exigiria mais alterações e alguns testes extras. Considerando que esse bug é de alta prioridade, sugiro:

    • recomendar uma reinicialização no postinstant
    • registre um problema no upstream, descrevendo o problema e sugerindo a mesma abordagem que podman/golang-github-containers-common adotou, versionando o nome do perfil do apparmor.
    • 1

relate perguntas