Sécurité Devops Self-Hosting

Watchtower : Votre Gardien Automatisé pour des Conteneurs Docker Toujours à Jour

Walid ETTAYEB
4 min de lecture
Watchtower : Votre Gardien Automatisé pour des Conteneurs Docker Toujours à Jour

Dans le monde de la conteneurisation avec Docker, maintenir ses applications à jour est une tâche cruciale pour la sécurité et la stabilité. C'est là qu'intervient Watchtower, un outil léger mais puissant qui automatise le processus de mise à jour de vos conteneurs Docker. Fini les vérifications manuelles et les mises à jour fastidieuses, Watchtower veille sur vos déploiements et s'assure qu'ils fonctionnent toujours avec les dernières images disponibles.

Qu'est-ce que Watchtower et comment ça marche ?

Watchtower est lui-même une application conteneurisée qui surveille en permanence les autres conteneurs en cours d'exécution sur votre hôte Docker. Son fonctionnement est simple et efficace :

  1. Surveillance : Watchtower interroge régulièrement le registre d'images (comme Docker Hub ou un registre privé) pour vérifier si une nouvelle version de l'image utilisée par un conteneur est disponible.
  2. Détection : S'il détecte qu'une image a été mise à jour, il télécharge la nouvelle version.
  3. Mise à jour : Watchtower arrête ensuite avec élégance le conteneur concerné.
  4. Redémarrage : Il redémarre le conteneur en utilisant la nouvelle image, tout en conservant la configuration d'origine (ports, volumes, variables d'environnement, etc.).
  5. Nettoyage (Optionnel) : Il peut également être configuré pour supprimer l'ancienne image, vous aidant ainsi à économiser de l'espace disque.

Ce processus garantit que vos applications bénéficient des derniers correctifs de sécurité et des nouvelles fonctionnalités sans intervention manuelle de votre part.

Mise en Place de Watchtower : Un Jeu d'Enfant

Le déploiement de Watchtower est aussi simple que de lancer un conteneur Docker.

Lancement Rapide avec docker run

La manière la plus simple de démarrer Watchtower est d'utiliser la commande docker run :

docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower

Décortiquons cette commande :

  • -d : Exécute le conteneur en mode détaché (en arrière-plan).
  • --name watchtower : Donne un nom explicite au conteneur.
  • -v /var/run/docker.sock:/var/run/docker.sock : C'est le point crucial. Ce volume monte le socket Docker de l'hôte dans le conteneur Watchtower, lui donnant ainsi l'autorisation d'interagir avec l'API Docker pour gérer les autres conteneurs.
  • containrrr/watchtower : Le nom de l'image officielle de Watchtower sur Docker Hub.

Par défaut, Watchtower vérifiera les mises à jour toutes les 24 heures.

Utilisation avec Docker Compose

Pour des déploiements plus complexes ou pour une gestion de la configuration plus aisée, l'utilisation de docker-compose.yml est recommandée :

version: "3"
services:
  watchtower:
    image: containrrr/watchtower
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    command: --interval 3600 # Vérifie toutes les heures

Pour lancer Watchtower avec Docker Compose, il suffit d'exécuter docker-compose up -d dans le même répertoire que votre fichier docker-compose.yml.

Personnalisation et Bonnes Pratiques

Watchtower offre plusieurs options de configuration pour s'adapter à vos besoins spécifiques.

Contrôler les Mises à Jour

Par défaut, Watchtower met à jour tous les conteneurs en cours d'exécution. Pour un contrôle plus fin, vous pouvez utiliser des labels Docker. En lançant Watchtower avec l'argument --label-enable, seuls les conteneurs ayant le label com.centurylinklabs.watchtower.enable=true seront surveillés.

Exemple de lancement de Watchtower pour une surveillance sélective :

docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower --label-enable

Exemple de lancement d'un conteneur à surveiller :

docker run -d --name mon-app --label com.centurylinklabs.watchtower.enable=true mon-image:latest

Inversement, vous pouvez exclure certains conteneurs de la mise à jour automatique en leur ajoutant le label com.centurylinklabs.watchtower.enable=false.

Fréquence des Vérifications

L'intervalle de vérification des mises à jour peut être modifié avec l'argument --interval ou la variable d'environnement WATCHTOWER_POLL_INTERVAL. La valeur est en secondes.

  • Argument : --interval 300 (toutes les 5 minutes)
  • Variable d'environnement : -e WATCHTOWER_POLL_INTERVAL=300

Il est également possible de définir un calendrier de vérification précis à l'aide d'une expression cron avec l'argument --schedule.

Exemple pour une vérification tous les jours à 4h du matin :

docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower --schedule "0 4 * * *"

Nettoyage des Anciennes Images

Pour éviter l'accumulation d'images Docker obsolètes, vous pouvez demander à Watchtower de les supprimer après une mise à jour réussie avec l'argument --cleanup ou la variable d'environnement WATCHTOWER_CLEANUP=true.

Notifications

Watchtower peut vous notifier des mises à jour via divers canaux tels que l'email, Slack, Microsoft Teams, et d'autres. La configuration se fait à l'aide de variables d'environnement spécifiques à chaque service de notification.

Considérations sur la Sécurité

Bien que Watchtower soit un outil extrêmement pratique, il est essentiel de l'utiliser avec discernement :

  • Accès à l'API Docker : En montant le socket Docker, vous donnez à Watchtower un accès complet à votre démon Docker. Il est donc primordial d'utiliser l'image officielle et de vous assurer de son intégrité.
  • Stabilité des Mises à Jour : L'automatisation des mises à jour signifie que des changements potentiellement non rétrocompatibles pourraient être introduits sans votre intervention directe. Il est donc recommandé d'utiliser Watchtower pour des applications dont vous suivez activement le développement et les changements, ou dans des environnements de développement et de test. Pour la production, une stratégie de mise à jour contrôlée (par exemple, en ne mettant à jour que les versions de patch) peut être préférable.
  • Images "latest" : L'utilisation du tag :latest est pratique mais peut être risquée en production. Pour plus de stabilité, envisagez d'utiliser des tags de version spécifiques (par exemple, mon-image:1.2.3) et de mettre à jour manuellement ces tags dans vos fichiers de déploiement lorsque vous êtes prêt à passer à une nouvelle version.

En conclusion, Watchtower est un allié de taille pour tout utilisateur de Docker souhaitant simplifier et automatiser la maintenance de ses conteneurs. Sa facilité de mise en œuvre et sa flexibilité en font un outil indispensable pour garantir que vos applications sont toujours à jour et sécurisées.

Écrit par

Walid ETTAYEB

Passionné par la technologie, je transforme ma passion en expertise.

Vous pourriez aussi aimer

Appuyez sur ESC pour fermer.

Parcourir les articles par tags populaires

Self-Hosting Sécurité Devops Scripts Astuces
Vous vous êtes abonné avec succès à CodeClan
Parfait ! Ensuite, complétez le paiement pour obtenir un accès complet à tout le contenu premium.
Erreur ! Impossible de s'inscrire. Lien invalide.
Bienvenue ! Vous vous êtes connecté avec succès.
Erreur ! Impossible de se connecter. Veuillez réessayer.
Succès ! Votre compte est entièrement activé, vous avez maintenant accès à tout le contenu.
Erreur ! Le paiement Stripe a échoué.
Succès ! Vos informations de facturation sont mises à jour.
Erreur ! La mise à jour des informations de facturation a échoué.