Mettre à jour des conteneurs Windows ServerUpdate Windows Server containers

Dans le cadre de la maintenance mensuelle de Windows Server, nous publions régulièrement des images mises à jour du conteneur du système d’exploitation de base Windows Server.As part of servicing Windows Server each month, we publish updated Windows Server Base OS container images on a regular basis. Ces mises à jour vous permettent d’automatiser la construction d’images de conteneur mises à jour ou de les mettre à jour manuellement en extrayant la dernière version.With these updates, you can automate building updated container images or manually update them by pulling the latest version. Les conteneurs Windows Server n’ont pas de pile de maintenance comme Windows Server.Windows Server containers don't have a servicing stack like Windows Server. Vous ne pouvez pas obtenir de mises à jour à l’intérieur d’un conteneur comme vous le feriez avec Windows Server.You can't get updates within a container like you do with Windows Server. Par conséquent, chaque mois, nous reconstruisons les images du conteneur du système d’exploitation de base Windows Server avec les mises à jour, et publions les images mises à jour.Therefore, every month we rebuild the Windows Server Base OS container images with the updates and publish the updated container images.

D’autres images de conteneur, telles que .NET ou IIS, seront reconstruites à partir des images du conteneur du système d’exploitation de base mises à jour, et publiées chaque mois.Other container images, such as .NET or IIS, will be rebuilt based on the updated Base OS container images and published monthly.

Comment obtenir des mises à jour du conteneur Windows ServerHow to get Windows Server container updates

Nous mettons à jour les images du conteneur du système d’exploitation de base Windows Server en nous alignant sur la cadence de maintenance de Windows.We update Windows Server Base OS container images in alignment with the Windows servicing cadence. Les images du conteneur mises à jour sont publiées le deuxième mardi de chaque mois. Nous y faisons parfois référence sous le nom de publication « B », assorti d’un numéro de préfixe basé sur le mois de sortie.Updated container images are published the second Tuesday of each month, which we sometimes refer to as our "B" release, with a prefix number based on the release month. Par exemple, nous appelons la mise à jour de février « 2B », et celle de mars « 3B ».For example, we call our February update "2B" and our March update "3B." Cette mise à jour mensuelle est la seule publication standard incluant de nouveaux correctifs de sécurité.This monthly update event is the only regular release that include new security fixes.

Le serveur hébergeant ces conteneurs, appelé hôte de conteneurs ou simplement « hôte », peut faire l’objet d’une maintenance lors d’événements de mise à jour supplémentaires autres que les publications « B ».The server hosting these containers, called the container host or just the "host", can be serviced during additional update events other than "B" releases. Pour en savoir plus à ce sujet, consultez notre billet de blog sur la cadence de maintenance de mise à jour de Windows.To learn more about the Windows update servicing cadence, see our Windows update servicing cadence blog post.

Les nouvelles images du conteneur du système d’exploitation de base Windows Server sont publiées peu après 10 heures PST, le deuxième mardi de chaque mois, dans le Registre de conteneurs Microsoft, et les balises recommandées ciblent la version B la plus récente.New Windows Server Base OS container images go live shortly after 10:00am PST on the second Tuesday of each month in the Microsoft Container Registry (MCR), and the featured tags target the most recent B release. Voici quelques exemples :Some examples include:

  • ltsc2019 (LTSC): docker pull mcr.microsoft.com/windows/servercore:ltsc2019ltsc2019 (LTSC): docker pull mcr.microsoft.com/windows/servercore:ltsc2019
  • 1909 (SAC): docker pull mcr.microsoft.com/windows/servercore:19091909 (SAC): docker pull mcr.microsoft.com/windows/servercore:1909

Si vous connaissez mieux le Docker Hub que le Registre de conteneurs Microsoft, ce billet de blog vous fournit des explications plus détaillées.If you're more familiar with Docker Hub than MCR, this blog post will give you a more detailed explanation.

Pour chaque publication, l’image du conteneur concernée est également publiée avec deux balises supplémentaires, respectivement pour le numéro de révision et pour le numéro d’article de la base de connaissances, afin de cibler des révisions d’image du conteneur spécifiques.For each release, the respective container image also gets published with two additional tags for the revision number and the KB article number for targeting specific container image revisions. Par exemple :For example:

  • docker pull mcr.microsoft.com/windows/servercore:10.0.17763.1040docker pull mcr.microsoft.com/windows/servercore:10.0.17763.1040
  • docker pull mcr.microsoft.com/windows/servercore:1809-KB4546852docker pull mcr.microsoft.com/windows/servercore:1809-KB4546852

Ces exemples extraient tous deux l’image du conteneur Server Core de Windows Server 2019 avec la mise à jour de sécurité du 18 février.These examples both pull the Windows Server 2019 Server Core container image with the February 18 security release update.

Pour obtenir la liste complète des images du conteneur du système d’exploitation de base Windows Server, avec leurs versions et balises respectives, consultez la page Images du conteneur du système d’exploitation de base Windows sur le Docker Hub.For a complete list of Windows Server Base OS container images, versions, and their respective tags, see this Windows Base OS container images on Docker Hub.

Les images de Windows Server ayant fait l’objet de la maintenance mensuelle qui sont publiées par Microsoft sur la Place de marché Azure contiennent également des images préinstallées du conteneur du système d’exploitation de base.Monthly serviced Windows Server images released on Azure Marketplace by Microsoft also come with preinstalled Base OS container images. Pour plus d’informations, consultez notre page concernant la tarification de Windows Server sur la Place de marché Azure.Find our more at our Windows Server Azure Marketplace pricing page. Généralement, nous mettons à jour ces images quelque cinq jours ouvrés après la publication « B ».We usually update these images about five working days after the "B" release.

Pour obtenir la liste complète des images et versions de Windows Server, consultez l’historique de mise à jour de Windows Server sur la Place de marché Azure.For a complete list of Windows Server images and versions, see Windows Server release on Azure Marketplace update history.

Compatibilité des versions de l’hôte et du conteneurHost and container version compatibility

Il existe deux types de modes d’isolation pour les conteneurs Windows : Isolation des processus et isolation Hyper-V.There are two types of isolation modes for Windows containers: Process isolation and Hyper-V isolation. L’isolation Hyper-V est plus flexible lorsqu’il s’agit de la compatibilité des versions de l’hôte et du conteneur.Hyper-V isolation is more flexible when it comes to host and container version compatibility. Pour en savoir plus, consultez Compatibilité des versions et Modes d’isolation.To learn more, see Version compatibility and Isolation Modes. Sauf indication contraire, cette section se concentre sur les conteneurs isolés par processus.This section will focus on process-isolated containers unless stated otherwise.

Lorsque vous mettez à jour l’hôte ou l’image de votre conteneur avec les mises à jour mensuelles, tant que l’hôte et l’image du conteneur sont tous deux pris en charge (Windows Server, version 1809 ou ultérieure), leurs révisions n’ont pas besoin de correspondre pour que le conteneur démarre et s’exécute normalement.When you update your container host or container image with the monthly updates, as long as the host and container image are both supported (Windows Server version 1809 or higher), the host and container image revisions don't need to match for the container to start and run normally.

En revanche, vous risquez de rencontrer des problèmes lors de l’utilisation de conteneurs Windows Server avec la version de mise à jour de sécurité du 11 février 2020 (également appelée « 2B ») ou des mises à jour de sécurité mensuelles ultérieures.However, you might encounter issues when using Windows Server containers with the February 11, 2020 security update release (also called "2B") or later monthly security update releases. Pour plus de détails, consultez cet article du Support Microsoft.See this Microsoft Support article for more details. Ces problèmes résultent d’une modification de sécurité qui nécessite un changement de l’interface entre le mode utilisateur et le mode noyau pour garantir la sécurité de vos applications.These issues resulted from a security change that required an interface between user mode and kernel mode to change to ensure the security of your applications. Ils se produisent uniquement sur des conteneurs isolés du processus, parce que ceux-ci partagent le mode noyau avec l’hôte du conteneur.These issues only happen on process isolated containers because process isolated containers share the kernel mode with the container host. Cela signifie que les images du conteneur sans le composant mode utilisateur mis à jour ne sont ni sécurisées, ni compatibles avec la nouvelle interface de noyau sécurisée.This means container images without the updated user mode component were unsecured and incompatible with the new secured kernel interface.

Nous avons donc publié un correctif le 18 février 2020.We've released a fix as of February 18, 2020. Cette nouvelle publication a établi une « nouvelle ligne de base ».This new release has established a "new baseline." Cette nouvelle ligne de base suit les règles suivantes :This new baseline follows these rules:

  • Toutes les combinaisons d’hôtes et de conteneurs antérieurs à la publication 2B fonctionnent.Any combination of hosts and containers that are both before 2B will work.
  • Toutes les combinaisons d’hôtes et de conteneurs postérieurs à la publication 2B fonctionnent.Any combination of hosts and containers that are both after 2B will work.
  • Aucune combinaison d’hôtes et de conteneurs qui ne sont pas soit antérieurs, soit postérieurs à la nouvelle ligne de base ne fonctionne.Any combination of hosts and containers on different sides of the new baseline won't work. Par exemple, la combinaison d’un hôte 3B et d’un conteneur 1B ne fonctionne pas.For example, a 3B host and a 1B container won't work.

Nous allons utiliser la publication de la mise à jour de sécurité mensuelle de mars 2020 comme exemple pour vous montrer comment fonctionnent ces nouvelles règles de compatibilité.Let's use the March 2020 monthly security update release as an example to show you how these new compatibility rules work. Dans le tableau suivant, la publication de la mise à jour de sécurité de mars 2020 est appelée « 3B », celle de février 2020 « 2B », et celle de janvier 2020 « 1B ».In the following table, the March 2020 security update release is called "3B," the February 2020 update is "2B," and the January 2020 update is "1B."

HostHost ConteneurContainer CompatibilitéCompatibility
3B3B 3B3B OuiYes
3B3B 2B2B OuiYes
3B3B 1B ou antérieure1B or earlier NonNo
2B2B 3B3B OuiYes
2B2B 2B2B OuiYes
2B2B 1B ou antérieure1B or earlier NonNo
1B ou antérieure1B or earlier 3B3B NonNo
1B ou antérieure1B or earlier 2B2B NonNo
1B ou antérieure1B or earlier 1B ou antérieure1B or earlier OuiYes

Pour référence, le tableau suivant répertorie les numéros de version des images du conteneur du système d’exploitation de base avec les publications des mises à jour de sécurité mensuelles 1B, 2B et 3B sur les différentes publications majeures du système d’exploitation, de Windows Server 2016 à la dernière publication de Windows Server, à savoir la version 1909.For reference, the following table lists the version numbers for Base OS container images with 1B, 2B, and 3B monthly security update releases across different major OS releases from Windows Server 2016 to the latest Windows Server, version 1909 release.

Version de Windows Server (étiquette flottante)Windows Server version (floating tag) Version de mise à jour pour la publication du 14/1/20 (1B)Update version for 1/14/20 release (1B) Version de mise à jour pour la publication du 18/2/20 (2B)Update version for 2/18/20 release (2B) Version de mise à jour pour la publication du 10/3/20 (3B)Update version for 3/10/20 release (3B)
Windows Server 2016 (ltsc2016)Windows Server 2016 (ltsc2016) 10.0.14393.3443 (KB4534271)10.0.14393.3443 (KB4534271) 10.0.14393.3506 (KB4546850)10.0.14393.3506 (KB4546850) 10.0.14393.3568 (KB4551573)10.0.14393.3568 (KB4551573)
Windows Server, version 1803 (1803)Windows Server, version 1803 (1803) 10.0.17134.1246 (KB4534293)10.0.17134.1246 (KB4534293) 10.0.17134.1305 (KB4546851)10.0.17134.1305 (KB4546851) Cette version a atteint la fin du support.This version has reached end of support. Pour plus d’informations, consultez Cycles de vie de la maintenance des images de base.For more information, see Base image servicing lifecycles.
Windows Server, version 1809 (1809)Windows Server, version 1809 (1809) 10.0.17763.973 (KB4534273)10.0.17763.973 (KB4534273) 10.0.17763.1040 (KB4546852)10.0.17763.1040 (KB4546852) 10.0.17763.1098 (KB4538461)10.0.17763.1098 (KB4538461)
Windows Server 2019 (ltsc2019)Windows Server 2019 (ltsc2019) 10.0.17763.973 (KB4534273)10.0.17763.973 (KB4534273) 10.0.17763.1040 (KB4546852)10.0.17763.1040 (KB4546852) 10.0.17763.1098 (KB4538461)10.0.17763.1098 (KB4538461)
Windows Server, version 1903 (1903)Windows Server, version 1903 (1903) 10.0.18362.592 (KB4528760)10.0.18362.592 (KB4528760) 10.0.18362.658 (KB4546853)10.0.18362.658 (KB4546853) 10.0.18362.719 (KB4540673)10.0.18362.719 (KB4540673)
Windows Server, version 1909 (1909)Windows Server, version 1909 (1909) 10.0.18363.592 (KB4528760)10.0.18363.592 (KB4528760) 10.0.18363.658 (KB4546853)10.0.18363.658 (KB4546853) 10.0.18363.719 (KB4540673)10.0.18363.719 (KB4540673)

Résoudre les discordances d’images d’hôte et de conteneurTroubleshoot host and container image mismatches

Avant de commencer, prenez connaissance des informations sur la Compatibilité des versions.Before you start, make sure sure to get familiar with the information in Version compatibility. Ces informations vous aideront à déterminer si votre problème est dû à une discordance de correctifs.This information will help you figure out whether your issue was caused by mismatching patches. Si vous établissez que telle est bien la cause du problème, vous pouvez suivre les instructions de cette section pour le résoudre.When you've established mismatching patches as the cause, you can follow the instructions in this section to troubleshoot the issue.

Interroger la version de l’hôte de votre conteneurQuery the version of your container host

Si vous pouvez accéder à l’hôte de votre conteneur, vous pouvez exécuter la commande ver pour obtenir la version de son système d’exploitation.If you can access your container host, you can run the ver command to get its OS version. Par exemple, si vous exécutez ver sur un système exécutant Windows Server 2019 avec la dernière publication de la mise à jour de sécurité de février 2020, vous verrez ceci :For example, if you run ver on a system that runs Windows Server 2019 with the latest Feb 2020 security update release, you'll see this:

Microsoft Windows [Version 10.0.17763.1039]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\>ver

Microsoft Windows [Version 10.0.17763.1039]

Notes

Dans cet exemple, le numéro de révision est 1039, non 1040, parce que la publication de la mise à jour de sécurité de février 2020 n’avait pas de publication 2B hors plage pour Windows Server.The revision number in this example displays as 1039, not 1040, because the Feb 2020 security update release didn't have an out-of-band 2B release for Windows Server. Il n’existait de publication 2B hors plage que pour les conteneurs, dont le numéro de révision était 1040.There was only an out-of-band 2B release for containers, which had a revision number of 1040.

Si vous n’avez pas d’accès direct à l’hôte de votre conteneur, contactez votre administrateur informatique. Si vous opérez sur le cloud, consultez le site web du fournisseur de cloud pour connaître la version du système d’exploitation de l’hôte du conteneur qu’il exécute.If you don't have direct access to your container host, check with your IT admin. If you're running on the cloud, check the cloud provider's website to find out what container host OS version they're running. Par exemple, si vous utilisez Azure Kubernetes Service (AKS), vous trouverez la version du système d’exploitation de l’hôte dans les notes de publication d’AKS.For example, If you are using Azure Kubernetes Service (AKS), you can find the host OS version in the AKS release notes.

Interroger la version de l’image de votre conteneurQuery the version of your container image

Pour déterminer la version que votre conteneur exécute, procédez comme suit :Follow these instructions to find out which version your container is running:

  1. Exécutez la cmdlet suivante dans PowerShell :Run the following cmdlet in PowerShell:

    docker images
    

    La sortie doit ressembler à ceci :The output should look something like this:

    REPOSITORY                             TAG                 IMAGE ID            CREATED             SIZE
    mcr.microsoft.com/windows/servercore   ltsc2019            b456290f487c        4 weeks ago         4.84GB
    mcr.microsoft.com/windows              1809                58229ca44fa7        4 weeks ago         12GB
    mcr.microsoft.com/windows/nanoserver   1809                f519d4f3a868        4 weeks ago         251M
    
    
  2. Run the docker inspect command for the Image ID of the container image that isn't working. This will tell you which version the container image is targeting.

    For example, let's say we run docker inspect for an ltsc 2019 container image:

    docker inspect b456290f487c
    
        "Architecture": "amd64",
    
         "Os": "windows",
    
         "OsVersion": "10.0.17763.1039",
    
         "Size": 4841309825,
    
         "VirtualSize": 4841309825,
    

    Dans cet exemple, la version du système d’exploitation du conteneur est 10.0.17763.1039.In this example, the container OS version shows as 10.0.17763.1039.

    Si vous exécutez déjà un conteneur, vous pouvez également exécuter la commande ver dans celui-ci pour obtenir sa version.If you're already running a container, you can also run the ver command within the container itself to get the version. Par exemple, l’exécution de la commande ver dans une image du conteneur Server Core de Windows Server 2019 avec la dernière publication de la mise à jour de sécurité de février 2020 indique ceci :For example, running ver in a Server Core container image of Windows Server 2019 with the latest Feb 2020 security update release will show you this:

    Microsoft Windows [Version 10.0.17763.1040]
    (c) 2020 Microsoft Corporation. All rights reserved.
    
    C:\>ver
    
    Microsoft Windows [Version 10.0.17763.1040]