Watchtower: Automatische Docker Container Updates

Markus Schemp — Wed, 29 Jan 2025 10:30:00 +0000

Softwareupdates zeitnah durchzuführen ist eine de elementaren Grundsäulen so ziemlich jeder IT Sicherheitsstrategie. Spätestens wenn man mehr als zwei bis drei Dienste selbst betreibt, kann das aber in in ein regelrechtes Katz- und Maus-Spiel ausarten: Für welche Dienste gibt es Updates? Welche Dienste habe ich schon updated? Welche muss ich noch updaten? Mit Watchtower kannst du die Images deiner Docker-Container automatisiert aktuell halten.

So funktioniert Watchtower

ACHTUNG: Watchtower führt automatische Updates ohne deine Mithilfe durch! Sollte im Image etwas nicht stimmen, oder das Update nicht funktioniert haben, kann es sein, dass der Container nicht mehr läuft oder es zu Datenverlust kommt.

Watchtower verbindet sich mit deinem Docker-Socket und kann zyklisch deine laufenden Docker-Container scannen. Gleichzeitig überwacht Watchtower die Registry, von der dein Image stammt. Wenn dort ein neueres, zu deiner Docker-Konfiguration passendes Image vorhanden ist, aktualisiert Watchtower deinen lokalen Container. Fährt ihn also herunter, aktualisiert das Image und fährt in wieder hoch.

Ich persönlich nutze Watchtower ausschließlich für Container, wenn ich:

regelmäßig, meistens mehrmals im Monat (Sicherheits-) Updates erwarte
bisher sehr gute Erfahrungen mit Updates dieses Containers gemacht habe
funktionierendes Backup konfiguriert habe
einen möglichen Ausfall zeitnah mitbekomme (z.B. durch Uptime Monitoring)

Meine persönliche GitLab Instanz ist ein gutes Beispiel, wofür ich Watchtower nutze. GitLab veröffentlich sehr schnell und häufig Sicherheitsupdates und ich hatte noch nie ein Problem bei eine Update.

Watchtower-Setup

Voraussetzungen

Ich gehe davon aus, dass Docker und Docker-Compose auf dem Server installiert sind und du deine Container unter /opt/containers ablegst. Ich verzichte hier auch auf sudo und gehe davon aus, dass du entweder als root angemeldet bist (nicht empfohlen!) oder an den notwendigen Stellen sudo nutzt.

Ordner anlegen und vorbereiten

mkdir -p /opt/containers/watchtower
cd /opt/containers/watchtower

docker-compose.yaml

Lege die docker-compose.yaml an:

nano docker-compose.yaml

services:
  watchtower:
    image: containrrr/watchtower
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock  # Docker Socket
      - /etc/localtime:/etc/localtime:ro # Lokale Zeitzone
    environment:
      - WATCHTOWER_LABEL_ENABLE=true # Watchtower soll ausschließlich markierte Dienste berücksichtigen
      - WATCHTOWER_SCHEDULE=0 0 4 * * * # täglich um 04:00 Uhr prüfen
      - WATCHTOWER_TIMEOUT=60s # Container nach spätestens 1 Minute zwangsweise stoppen
      - WATCHTOWER_INCLUDE_RESTARTING=true # nach dem Update Container neustarten
      - WATCHTOWER_CLEANUP=true  # nach dem Update nicht mehr benötigte Images aufräumen
      - WATCHTOWER_NOTIFICATIONS_LEVEL=info 
      - WATCHTOWER_NOTIFICATIONS=email # per Mail informieren, was er getan hat
      - WATCHTOWER_NOTIFICATION_EMAIL_FROM=${EMAIL_FROM}
      - WATCHTOWER_NOTIFICATION_EMAIL_TO=${EMAIL_TO}
      - WATCHTOWER_NOTIFICATION_EMAIL_SERVER=${EMAIL_SERVER}
      - WATCHTOWER_NOTIFICATION_EMAIL_SERVER_USER=${EMAIL_SERVER_USER}
      - WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PASSWORD=${EMAIL_SERVER_PASSWORD}
      - WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PORT=${EMAIL_SERVER_PORT}
    labels:
      - "com.centurylinklabs.watchtower.enable=true" # sich selbst updaten

.env

Und lege die .env an:

nano .env

EMAIL_FROM="noreply@example.com"
EMAIL_TO="Meine@emailadresse.de"
EMAIL_SERVER="smtp.example.com"
EMAIL_SERVER_PORT="25"
EMAIL_SERVER_USER="noreply@example.com"
EMAIL_SERVER_PASSWORD="geheim"

Anpassungen in der Konfiguration

Für die E-Mail-Benachrichtigungen musst du in der .env Datei gültige SMTP Zugangsdaten hinterlegen. Solltest du keine E-Mail Benachrichtigungen wollen, kannst du auch die WATCHTOWER_NOTIFICATION_* Einträge aus der docker-compose.yaml entfernen und auf die .env verzichten.

Watchtower starten

Jetzt kannst du Watchtower starten – entweder im interaktiven Modus um ggf. in die Fehlersuche zu gehen, oder direkt im Hintergrund mit der -d Option.

docker compose up
docker compose up -d

Um weitere Container in die Überwachung deines Watchtowers aufzunehmen, müssen diese mit dem richtigen Label versehen sein. Ergänze also ggf. in deine Docker-Compose Dateien das label.

    labels:
      - "com.centurylinklabs.watchtower.enable=true"

Der Beitrag Watchtower: Automatische Docker Container Updates erschien zuerst auf Schemp.de.

Traefik mit Crowdsec als Docker-Reverse-Proxy

Markus Schemp — Sun, 26 Jan 2025 12:09:07 +0000

Fast alle meine Dienste stelle ich über Docker bereit. Auch dieser Blog läuft über Docker Container. Das erlaubt mir einerseits eine einfache Verwaltung meiner Dienste – insbesondere was die Bereitstellung und updates angeht – gleichzeitig aber auch einen Server für mehrere Dienste zu nutzen. Genau für letzteres nutze ich Traefik als Reverse-Proxy.

Warum ein Reverse Proxy?

Wenn ich auf einem (physischen oder virtualisierten) Host (Server) mehrere Dienste betreiben möchte, die den gleichen Port nutzen, ist das in der Regel eine Herausforderung. Das ist zum Beispiel dann der Fall, wenn ich mehrere Webseiten oder Web-Dienste auf dem selben Host betreiben möchte.

Eine mögliche Lösung für dieses Dilemma ist die Nutzung eines Reverse-Proxy. Dabei wird nach Außen (ins Internet) nur der Reverse-Proxy als Dienst bereitgestellt – d.h. in dem Beispiel reagiert nur der Reverse-Proxy auf Anfragen auf dem Port 80 (HTTP) oder 443 (HTTPS). Je nach Anfrage leitet der Reverse-Proxy dann intern an den eigentlichen Dienst weiter. So können auf einem Host oder sogar unter einer Domain problemlos mehrere Dienste erreichbar sein.

Ein weiterer Nutzen ergibt sich dabei dadurch, dass es einfacher wird, zentrale Sicherheitsfunktionen einzubauen – wenn diese in den Reverse-Proxy integriert werden, werden diese faktisch für alle Anwendungen genutzt, die über den Reverse Proxy bereitgestellt werden.

Und was ist Traefik und Crowdsec?

Es gibt viele Reverse-Proxies, die man einsetzen kann. Ich nutze Traefik als „Cloud Native“ Reverse-Proxy – vor allem wegen der für mich persönlich einfachen Integration in meinen Docker-Stack. Sobald Traefik einmal eingerichtet ist, kann ich sehr einfach neue Docker-Container über Labels mit in den Reverse Proxy aufnehmen.

Crowdsec wiederum ist eine Community-Getriebene Security-Plattform und für mich so etwas wie „das neue Fail2Ban“. Vereinfacht gesagt analysiert Crowdsec in Echtzeit die Logs der konfigurierten Dienste, schätzt jeden Zugriff auf diese Dienste ein und entscheidet dann, ob der Zugriff valide ist oder ob der Zugriff besser an einen sog. Bouncer weitergeleitet und i.d.R. geblockt wird. Die Crowdsec Community (und das Unternehmen dahinter) pflegt und erweitert täglich Listen und Entscheidungskriterien, die darauf einzahlen, dass DU den Content hier problemlos lesen kannst, während die bösen Jungs hoffentlich ausgesperrt bleiben.

Und wie hast du das jetzt aufgesetzt?

Mein Setup als „meine Arbeit“ zu bezeichnen währe hier falsch – es geht ein Großer Dank an goneuland.de/ für die hervorragende Anleitung und die Pflege der dazugehörigen Docker-Compose Files. Das kann ich aktuell bedingungslos weiterempfehlen: Traefik V3 Installation, Konfiguration und CrowdSec-Security

Der Beitrag Traefik mit Crowdsec als Docker-Reverse-Proxy erschien zuerst auf Schemp.de.

Docker Archive - Schemp.de