Watchtower 是一个用于自动更新 Docker 容器镜像的开源工具。它可以监控正在运行的容器,当检测到容器对应的镜像(如 Docker Hub 或私有仓库)有新版本时,自动拉取新镜像并重启容器,实现无缝升级。
•Github:https://github.com/containrrr/watchtower[1]•Docs:https://containrrr.dev/watchtower/[2]
核心功能
1.自动检测更新:定期检查容器镜像是否有新版本。2.自动拉取镜像:发现新版本后,自动从镜像仓库拉取。3.重启容器:用新镜像重新创建并启动容器,保留原有配置(如卷、网络、环境变量等)。4.清理旧镜像:可选删除旧镜像,避免占用磁盘空间。
快速安装与使用
1. 运行 Watchtower 容器
docker run -d \--name watchtower \-v /var/run/docker.sock:/var/run/docker.sock \containrrr/watchtower
•关键配置:通过挂载 /var/run/docker.sock
,Watchtower 获得管理 Docker 容器的权限。
2. 监控指定容器
默认监控所有容器,若需限定目标,在命令末尾添加容器名:
docker run -d \--name watchtower \-v /var/run/docker.sock:/var/run/docker.sock \containrrr/watchtower nginx redis
常用配置选项
1. 设置检查间隔
•默认每24小时检查一次,可通过 --interval
调整(单位为秒):
# 每5分钟检查一次docker run ... containrrr/watchtower --interval 300
2. 手动立即触发更新
docker run --rm \-v var/run/docker.sock:/var/run/docker.sock \containrrr/watchtower --run-once
3. 通知与告警
支持邮件、Slack、Discord 等通知渠道(需配置环境变量):
# Slack 示例docker run ... \-e WATCHTOWER_NOTIFICATIONS=slack \-e WATCHTOWER_NOTIFICATION_SLACK_HOOK_URL="https://hooks.slack.com/services/XXX"
4. 排除容器
•方法1:启动容器时添加标签:
docker run --label=com.centurylinklabs.watchtower.enable=false ...
•方法2:通过 Watchtower 参数排除:
docker run ... containrrr/watchtower --exclude-containers "container1,container2"
5. 保留旧镜像
默认删除旧镜像,使用 --no-remove-images
保留:
docker run ... containrrr/watchtower --no-remove-images
安全与生产环境建议
1.谨慎使用自动更新:生产环境建议先测试镜像稳定性,再手动更新。2.使用特定标签:为镜像打上稳定版本标签(如 app:v1.2
),避免使用 latest
。3.只监控安全来源:确保镜像来自可信仓库,避免恶意更新。4.设置更新超时时间:防止容器停止时卡死:
docker run ... containrrr/watchtower --stop-timeout 30s
5.只读模式(Monitor Only):仅检测更新,不执行操作:
docker run ... containrrr/watchtower --monitor-only
优缺点分析
•优点:
•简化容器维护流程,适合开发/测试环境。 •配置灵活,支持多种通知和过滤规则。•缺点: •自动更新可能导致意外中断(需结合健康检查)。 •对私有仓库需额外配置认证(通过 --docker-auth
参数)。
替代工具
•Diun:仅通知更新,不自动执行。•Ouroboros:类似功能,但已不再维护。•Portainer:提供 GUI 手动更新选项。
通过合理配置,Watchtower 可以显著简化 Docker 容器的维护工作,但需根据实际环境权衡自动化与稳定性。
References
[1]
: https://github.com/containrrr/watchtower[2]
: https://containrrr.dev/watchtower/
