Comme sur beaucoup d’infrastructures, nous utilisons Docker et il est relativement fréquent de devoir procéder à des mises à jour des containers que nous déployons. Afin d’automatiser à minima cette tâche, nous nous sommes mis en quête de trouver l’outil qui pourrait nous simplifier la tâche, c’est ce que propose WatchTower

Maintenance simplifiée de vos containers Docker

D’une simplicité enfantine, cet outil développé en Golang va utiliser le socket Docker pour gérer les containers et vérifier régulièrement si une nouvelle image est présente dans votre Docker Registry (publique ou bien privée, qu’importe).

Quand une nouvelle version est présente, il va se charger, tout seul, comme un grand d’aller mettre à jour votre image locale et de redémarrer le container qui l’utilise. Ceci vous garantit ainsi d’avoir toujours vos dernières versions en production.

Pour l’utiliser, rien de plus simple que cette commande :

docker run -d –name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower

On monte les sockets docker dans le container Docker de Watchtower qui va s’en servir et vérifier les containers régulièrement et les mettre à jour au besoin.

Vers une remediation automatique

Simple, rapide et efficace !

Nous nous en servons en production, sur des éléments non critiques mais également des éléments critiques qui sont eux, derrière des load balancer par exemple. Ainsi, nous avons une remediation automatique des CVE mais pas des 0day.

Il y a également plein d’autres façons de faire mais c’est une façon que nous apprécions tout particulièrement car elle est relativement simple à mettre en place et à utiliser. Aussi, nous n’avons pas testé avec Swarm et donc ne pouvons vous garantir le bon fonctionnement de cette méthode dans ce cas.