不可变的 Linux 图像 - 我能走多远以及应该走多远？

无需基于镜像的更新或不可变主机来设置对安装哪些软件的控制。在
公共镜像的自动更新软件包和不可变镜像的极端之间存在选项。

使用单独软件包的发行版（例如使用 rpm 的 CentOS）可以维护您自己的更新存储库。仅限于您使用的软件包。定期（例如每 4 周）将更新提取到测试存储库中。测试这组冻结的软件包一段时间，然后移至您的稳定存储库。配置所有主机以自动从您的镜像更新，可能按计划进行。当自动化安装软件包作为部署事物的一部分时，其版本是已知的，因为它来自您的镜像。但是，单个主机在应用软件包事务时可能会遇到问题，并且会过时。考虑查询队列中的每个主机以获取特别重要的软件包的版本，可能是某些安全更新。

将操作系统安装克隆为另一个实例非常简单。但是，基于软件包的发行版的映像并非真正不可改变，软件包管理器在实例中仍然可用，特权用户仍然可以更改 /usr 树中的内容。

考虑一个基于镜像更新的发行版，例如核心操作系统。更新必须分层到映像中，然后重新启动才能生效。自定义仅限于少量元数据。CoreOS 尤其仅用于托管容器，但这可能是您的用例。具有可复制的优势，Fedora CoreOS 34.20210904.3.0 是一套定义良好的软件。

不提供上传镜像方式的计算主机可以另行解决。启动具有网络访问权限的救援环境，然后将图像直接下载到磁盘上. 快照以制作模板。

现在可能是出于其他原因评估您选择的发行版的好时机。 CentOS Linux 8 将于 2021 年 12 月结束。 CentOS Stream 是替代品，但它是 RHEL 的上游而不是下游。

事实上，一旦您在 Hetzner 中创建了 VM，您就可以将其启动到所选择的 LiveCD，其中有 CloneZilla 或 SystemRescue 之类的程序，您可以使用它们来转储/恢复您的映像。

我实际上发现 CloneZilla 映像在不同的云 VPS 提供商之间更具可移植性。

但是，我如何保证最终的 Hetzner 映像具有与所有其他云提供商上运行的完全相同的 CentOS 8 安装（直到安装的 RPM 包集完全相同，版本号也完全相同）？

如果我正确理解了你想要什么，我会去使用任何“基础设施测试”工具，例如检测它可以让您描述您想要在目标映像/VM 中拥有的内容。

我们用它来验证我们的saltstack/saltproject代码使用它与厨房这样（我们在 CI 工具的作业中运行它）

• create带有 Kitchen 的 N 个虚拟机（可以与 Docker、Vagrant 以及云提供商一起使用）
• provision每台机器都有自己的配置文件，包括 Salt、Ansible、Chef、Puppet 或其他
• verify使用 Inspec 生成的机器状态

Inspec 让您可以创建某种“单元测试”，但针对基础设施/系统：您可以轻松验证用户和群组是否存在、安装的软件包及其版本、正在运行的服务、TCP/UDP 端口、防火墙规则……

（我也使用 Packer 来创建图像，但目前我不在这种情况下使用 Inspec：我们认为用于创建此图像的代码已经通过了之前的 CI 作业的测试）

因此，回到你的问题：我会在你的 Packer 设置中添加一个 Inspec 验证步骤。此外，它似乎已经作为配置程序集成到 Packer 中https://www.packer.io/docs/provisioners/inspec （我刚刚发现）