Docker-Container mit Watchtower aktualisieren

Ausschau nach Updates

Das automatische Aktualisieren eingesetzter Software ist eine Voraussetzung für die sichere Bereitstellung von Diensten und Infrastrukturen. Der fortschreitende Einsatz von Microservices und damit die Bereitstellung individuell angepasster Ökosysteme innerhalb von Containern führt schnell zu einem unübersichtlichen Update-Dschungel. Der Security-Tipp in diesem Monat präsentiert Ihnen Watchtower für das automatische Aktualisieren Ihrer Docker-Container.
Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet ... (mehr)

Das Deployment von Microservices mit Docker ist verhältnismäßig einfach. Ohne viel Aufwand können Sie in Ihrem Unternehmen komplexe Software-Installationen vornehmen und Dienste anbieten. Eine so schnell gewachsene Infrastruktur zu kontrollieren, ist dann häufig viel aufwendiger als die Bereitstellung selbst. Unabhängig davon, wie Sie Ihre Docker-Container verwalten – ob direkt mit Docker selbst, Docker Compose oder einem der vielen anderen Werkzeuge: Neben einem funktionierenden Backup will auch für das möglichst automatisierte Softwareupdate gesorgt sein.

Die automatische Aktualisierung ist immer öfter Bestandteil von IT-Sicherheitsstrategien in Unternehmen. Geht dabei etwas schief, ist ein nicht erreichbarer Dienst in vielerlei Hinsicht weniger kritisch als ein durch Angreifer verwundbarer Dienst. Mögliche Ausfallzeiten werden dann durch enges Monitoring und Fallback-Strategien ergänzt.

Watchtower starten

Die erste Einrichtung von Watchtower entspricht in Umfang und Komplexität in etwa dem Wechsel einer Glühbirne. Wenn alle Werkzeuge bereitgelegt sind und der Docker-Daemon läuft, starten Sie Watchtower mit dem folgenden Kommando:

docker run -d --name watchtower \ -v /var/run/docker.sock:/var/run/docker.sock \containrrr/watchtower

Dabei schicken Sie den gestarteten Container mit "-d" für detach direkt in den Hintergrund. Den mit "--name" angegebenen Namen können Sie frei wählen. Mit der Option "-v" binden Sie Bereiche des Dateisystems als Volume in die Prozessgruppe des Containers mit ein. Das obige Kommando schließt den Kommunikations-Socket des Docker-Daemons mit ein, denn darüber kommuniziert Watchtower und übermittelt seine Kommandos. Das letzte Argument der Kommandozeile übergibt den Watchtower-Pfad in der Docker-Hub-Registry [1].

Einmal gestartet, übernimmt Watchtower direkt die Kontrolle und

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022