Khi bạn cài đặt hàng loạt Docker container, việc cập nhật chúng có thể trở thành một gánh nặng — bạn cần tự tay kiểm tra phiên bản hình ảnh mới, sau đó mất công cài đặt chúng. Watchtower từng là một công cụ tuyệt vời để tự động hóa tất cả các bước này và cập nhật container của tôi, đó là lý do tại sao nó trở thành ứng dụng mà tôi tin dùng để xử lý công việc tẻ nhạt đó. Mặc dù tôi thích sự tự động hóa và không cần phải nghĩ về các bản cập nhật nữa, nhưng cách tiếp cận “hoàn toàn rảnh tay” này gần đây đã bắt đầu trở thành một điểm yếu. Và công cụ đã chứng tỏ mình là một sự thay thế xứng đáng không ai khác chính là Diun.
Máy chủ NAS gia đình của tôi tất nhiên không chạy cơ sở hạ tầng cực kỳ quan trọng, nhưng tôi vẫn rất quan tâm đến thời gian hoạt động (uptime). Một số container đã được cấu hình theo những cách cụ thể, đôi khi có những tinh chỉnh để tùy chỉnh hiệu suất. Và chỉ cần một bản cập nhật không mong muốn cũng đủ để làm hỏng thứ gì đó, hoặc tệ hơn, âm thầm thay đổi hành vi mong đợi mà tôi chỉ nhận ra vào thời điểm tồi tệ nhất. Việc thay thế Watchtower là để biết khi nào có bản cập nhật trước khi nó tự ý thay đổi bất cứ điều gì. Đó không phải là mục đích của việc chạy Docker container sao? Để nắm quyền kiểm soát các ứng dụng của bạn?
Và một ngày nọ, tôi đã gặp phải đúng vấn đề đó. Một container khởi động lại với một hình ảnh mới do Watchtower cài đặt, làm hỏng một plugin mà tôi đã thiết lập thủ công. May mắn thay, tôi không mất dữ liệu, nhưng tôi đã mất thời gian khắc phục sự cố và cảm thấy khó chịu. Đó là điểm mấu chốt để tôi tìm kiếm một giải pháp thay thế tiện lợi không kém nhưng không làm xáo trộn quy trình làm việc của mình, và điều đó đã dẫn tôi đến với Diun.
Tại sao Diun vượt trội cho quy trình làm việc của tôi?
Lợi ích và sự hợp lý của Diun
Hình ảnh mẫu thông báo cập nhật container Docker qua email từ Diun
Diun (viết tắt của Docker Image Update Notifier) là một công cụ nhẹ nhàng, chỉ thực hiện một việc duy nhất một cách hiệu quả: nó thông báo cho tôi khi có bản cập nhật hình ảnh container mới. Chỉ vậy thôi. Nó không kéo hình ảnh mới về, không tạm dừng các container đang chạy hay khởi động lại bất cứ thứ gì. Nó chỉ gửi cho tôi một thông báo.
Điều này nghe có vẻ là một bước lùi, nhưng đó chính xác là loại quyền kiểm soát mà tôi cần hiện tại. Thay vì thức dậy với các dịch vụ bị lỗi vì một bản cập nhật âm thầm diễn ra qua đêm, tôi nhận được thông báo trước qua email (hoặc Slack, Telegram, Discord — bất cứ thứ gì bạn thích). Sau đó, tôi quyết định có muốn áp dụng bản cập nhật hay không và khi nào. Nó cho phép tôi cài đặt các bản cập nhật vào những giờ thấp điểm, chẳng hạn như vào cuối tuần, khi tôi có thời gian để khắc phục mọi thứ nếu cần, chứ không phải giữa một tuần làm việc bận rộn.
Thiết lập Diun hơi phức tạp một chút trên Synology NAS, nhưng lại đơn giản hơn trên Raspberry Pi hoặc máy tính Windows với các công cụ như Docker Compose. Tôi đã cấp quyền truy cập vào Docker socket cho Diun và thêm một vài nhãn vào các container mà tôi muốn nó theo dõi. Sau đó, nó hoạt động trơn tru. Cứ vài giờ, nó kiểm tra các kho lưu trữ — Docker Hub, AWS ECR và các kho khác — tìm kiếm các thẻ (tag) mới nhất và thông báo cho tôi nếu có điều gì mới. Một điểm cộng lớn là Diun tiêu thụ rất ít tài nguyên, điều này không đáng kể đối với các hệ thống mạnh mẽ, nhưng lại rất quan trọng đối với các hệ thống có công suất thấp.
Lý do Watchtower không còn phù hợp với nhu cầu
Đã đến lúc Watchtower “nghỉ hưu”
Watchtower vẫn phát huy tác dụng — đặc biệt nếu bạn chỉ muốn các container của mình luôn được cập nhật mà không cần động tay. Nó giám sát các thẻ, kéo các bản cập nhật, dừng các container của bạn và khởi động lại chúng với cùng các cài đặt. Điều đó rất hữu ích, nhưng sự tiện lợi đi kèm với những đánh đổi. Đối với tôi, điều lớn nhất là các bản cập nhật diễn ra tự động. Đó là tính năng cốt lõi của Watchtower, nhưng kinh nghiệm của tôi cho thấy rủi ro đi kèm với nó.
Ngay cả một sự không tương thích nhỏ, như không tương thích ngược hoặc đánh số phiên bản không chính xác, cũng có thể làm hỏng mọi thứ, tùy thuộc vào cách container của bạn được thiết lập. Một thẻ hình ảnh mới không có nghĩa là tương thích ngược. Một số hình ảnh không tuân thủ quy tắc đánh số phiên bản ngữ nghĩa (semantic versioning) đúng cách, và ngay cả khi chúng tuân thủ, mọi thứ vẫn có thể bị hỏng tùy thuộc vào thiết lập của bạn. Tôi đã từng gặp các công cụ tự host bị mất giao diện hoặc plugin sau một bản cập nhật âm thầm. Nó không phải lúc nào cũng là thảm họa, nhưng luôn gây khó chịu.
Đúng là Watchtower về mặt kỹ thuật có hỗ trợ chế độ “chỉ giám sát”. Bạn có thể sử dụng cờ --monitor-only hoặc đặt biến WATCHTOWER_MONITOR_ONLY=true. Về lý thuyết, nó chỉ thông báo cho bạn. Nhưng trên thực tế, kết quả không nhất quán, và mọi người vẫn thấy các bản cập nhật diễn ra dù đã cấu hình đúng. Điều đó không tạo cho tôi nhiều sự tin tưởng.
Diun chưa phải là hoàn hảo
Tuy hoạt động tốt, Diun vẫn có điểm hạn chế
Mặc dù tôi thích sử dụng Diun hơn bây giờ, nhưng nó cũng có những đánh đổi. Nó không tự cập nhật bất cứ thứ gì theo thiết kế. Điều đó có nghĩa là bạn phải theo dõi email và tự áp dụng các bản cập nhật — một sự bất tiện mà tôi chấp nhận được. Nếu bạn quên, bạn có nguy cơ chạy các container lỗi thời. Vì vậy, bây giờ, trách nhiệm thuộc về bạn.
Ngoài ra, Diun chỉ thông báo cho bạn về các thẻ mới. Nó không hiển thị changelog hoặc sự khác biệt giữa các phiên bản. Bạn vẫn phải truy cập Docker Hub để xem những gì đã thay đổi. Đó là một bước phụ, nhưng vẫn có thể quản lý được. Và nếu bạn đã quen với phong cách “cài đặt một lần và quên” của Watchtower, Diun ban đầu có thể sẽ cảm thấy tốn công hơn. Nó không phức tạp; chỉ hơi khác so với những gì bạn đã quen.
Diun là lựa chọn tối ưu hiện tại của tôi
Cho đến bây giờ
Diun đã trao lại quyền kiểm soát NAS cho tôi. Tôi không còn lo lắng rằng một bản cập nhật ngầm sẽ gây ra thời gian chết (downtime) hoặc làm hỏng thứ gì đó đúng lúc tôi cần. Tôi nhận được thông báo, tôi xem xét chúng, và tôi quyết định phải làm gì. Sự thay đổi nhỏ trong cách tiếp cận đó đã khiến hệ thống của tôi cảm thấy ổn định hơn trong những ngày gần đây. Đối với những ai muốn tự động hóa, Watchtower vẫn là một lựa chọn vững chắc. Nhưng nếu bạn thích sự dễ đoán và kiểm soát như tôi, Diun sẽ thuyết phục bạn. Và nếu bạn đang tìm cách nâng cao kỹ năng quản lý Docker container của mình, có rất nhiều tùy chọn ẩn khác để khám phá.
Thiết bị NAS QNAP TS-464 cho hệ thống home lab và ứng dụng Docker
QNAP TS-464
- Thương hiệu: QNAP
- CPU: Intel Celeron N5095
- Bộ nhớ: 8GB DDR4 (tối đa 8GB)
- Số khay ổ đĩa: 4
- Khả năng mở rộng: 2x M.2 PCIe 3.0, 1x PCIe Gen 3 x2
- Cổng kết nối: 2x 2.5 GbE, 2x USB-A 3.2 Gen 2, 2x USB-A 2.0, 1x HDMI
QNAP TS-464 là một thiết bị NAS bốn khay ấn tượng với thiết kế nổi bật, thông số kỹ thuật nội bộ mạnh mẽ và hỗ trợ hồng ngoại cho điều khiển từ xa. Nếu bạn đang tìm kiếm một thiết bị NAS được trang bị tốt nhất để chạy Plex (hoặc các giải pháp media khác) mà không tốn quá nhiều tiền, đây là NAS dành cho bạn.
