終於有人把 Docker 管理這件事做簡單了。
整理版優先睇
Dockhand:一個免費、現代嘅Docker管理平台,取代Portainer嘅好選擇
呢篇文章介紹咗一個新冒出嚟嘅Docker管理工具——Dockhand。作者本身係一位Docker老手,用咗好耐Portainer,但最近發現Dockhand更好用,所以寫文分享。文章想帶出嘅問題係:Portainer將OIDC/SSO同RBAC鎖咗去付費版,令到自託管用戶好頭痕。Dockhand嘅做法正好相反,佢免費開放OIDC/SSO,只係將RBAC放喺企業版,降低咗自託管環境嘅認證成本。整體結論係:Dockhand係一個功能齊全、界面現代、部署簡單嘅Docker管理平台,特別適合唔想折騰K8s、想慳錢嘅用戶。
文章詳細列出咗Dockhand嘅五大核心功能:容器生命週期管理(一鍵操作、實時日誌、Web終端)、Compose可視化編輯(YAML校驗、Git倉庫同步、Webhook自動部署)、鏡像漏洞掃描(內置Grype同Trivy,按嚴重程度過濾)、自動更新帶回滾保護(更新前掃漏洞,有問題自動擋住)、遠程管理(Hawser Agent用WebSocket連接,唔使開防火牆端口)。呢啲功能將Watchtower、Dozzle、Diun等工具整合埋一齊。
除咗功能,文章仲提咗啲細節:界面用Svelte 5,反應快,有亮暗主題;採用Wolfi硬化鏡像,零遙測;通知支援Apprise,整合超過50個服務。部署只需要一條docker run命令。當然佢都有侷限:唔支援Kubernetes同Swarm,RBAC要收費,但門檻比P…
- Dockhand係一個免費嘅Docker管理平台,直接將Portainer要收費嘅OIDC/SSO免費提供,大幅降低自託管認證成本。
- 支援圖形化編輯Compose YAML,可以從Git倉庫拉取棧並透過Webhook自動部署,實現輕量級GitOps。
- 內置鏡像漏洞掃描(Grype/Trivy)同自動更新機制,更新前會檢查漏洞,有問題自動回滾,比Watchtower安全。
- 透過Hawser Agent進行遠程管理,只發起WebSocket連接,無需開放Docker socket或防火牆端口,適合NAT環境。
- 部署極簡單:一條docker run命令即可啟動,支援OIDC/SSO、通知整合(Apprise)、亮暗主題等,但唔支援K8s/Swarm。
Dockhand GitHub 倉庫
開源地址,包含源碼同文檔
Dockhand 部署命令
一條命令快速部署 Dockhand
點解 Dockhand 值得關注?
呢篇文章嘅作者係一位成日同 Docker 打交道嘅老手,之前一路用緊 Portainer,但最近發現咗 Dockhand,覺得佢更好用,所以寫文分享。文章背景係 Portainer 喺 2025 年底將 OIDC/SSO 同 RBAC 鎖咗去付費版,令社區好不滿。Dockhand 嘅做法就係 免費開放 OIDC/SSO,只係將 RBAC 放喺企業版,呢個差異係最吸引人之處。
五大核心功能,整合多種工具
Dockhand 唔單止係一個管理界面,仲將 Watchtower、Dozzle、Diun 等工具嘅功能整合埋一齊。以下係五大功能:
- 1 容器生命週期管理:一鍵啟動、停止、重啟、刪除,支援批量操作;內置即時日誌(ANSI 顏色渲染)同 Web 終端,唔使再開 SSH 或 Dozzle。
- 2 Compose 可視化編輯:圖形化編輯 YAML,出錯會直接標明;支援從 Git 倉庫拉取棧,配合 Webhook 做到每次 push 自動部署,實現輕量 GitOps。
- 3 鏡像漏洞掃描:內置 Grype 同 Trivy,一鍵掃描,可按嚴重程度過濾;掃描結果按 SHA256 緩存,唔會重複執行。
- 4 自動更新帶回滾保護:可設定時更新任務,更新前掃漏洞,若新鏡像漏洞更多會自動阻止;更新失敗時有回滾機制兜底。
- 5 遠程管理(Hawser Agent):Agent 只發起 WebSocket 連接,唔使開放防火牆端口或暴露 Docker socket,適合 NAT 或動態 IP 環境。
介面、安全同部署細節
Dockhand 嘅前端用 Svelte 5 寫,反應快,有亮色同暗色主題。儀表盤上嘅磁貼可以自訂大小,方便監控唔同環境。保安方面,佢採用 Wolfi 硬化鏡像,由零開始構建 OS 層,每個套件顯式聲明,而且 零遙測,唔會偷偷傳數據出去。通知系統整合咗 Apprise,支援 Discord、Slack、Telegram 等超過 50 個服務,容器啟動、停止、更新失敗、發現漏洞等事件都可以自動推送。
docker run -d --name dockhand --restart unless-stopped \
-p 3000:3000 \
-v /var/run/docker.sock:/var/run/docker.sock \
-v dockhand_data:/app/data \
fnsys/dockhand:latest部署時要留意:佢預設唔以 root 行,可能遇到 Docker socket 權限問題。最簡單嘅解決方法係加上 --user 0:0 直接用 root 跑,或者用 --group-add 加入 Docker 組嘅 GID。
限制、許可證同作者總結
Dockhand 目前只支援 Docker 同 Compose,唔支援 Kubernetes 或 Swarm,呢方面 Portainer 全面啲。RBAC 呢類企業功能要付費,但門檻低好多——OIDC/SSO 免費,RBAC 先俾錢。許可證係 BSL 1.1,個人使用、內部商用、非營利同教育用途都免費,只係唔可以打包做 SaaS 賣。到 2029 年 1 月 1 號後會轉成 Apache 2.0,完全開源。
作者最後話,如果你只係想管好 Docker,唔想搞 K8s 咁複雜,Dockhand 絕對夠用。佢自己由 Portainer 轉過嚟,覺得一代比一代強,推薦大家試玩,仲可以去 GitHub 開源地址 睇源碼同文檔。
5個月嘅時間,Star數做到咗4400。
Docker管理工具呢個圈子,又冒出嚟一個好嘢——Dockhand。
我睇咗一眼,佢主要就做咗一件事:將Docker容器嘅管理工作,做得更加簡單啲。
管理只係佢嘅一部分。
平時整Compose項目,可以直接用圖形介面編輯,唔使成日對住YAML檔案改。
伺服器多咗,佢都可以幫你統一管理遠程機器。
安全同營運維護呢方面都冇漏低——鏡像漏洞可以掃描,更新支援自動化,真係出事仲可以隨時回滾。
連認證都唔使你另外再搞,OIDC同SSO已經內置咗,仲係完全免費。
好似Watchtower、Dozzle、Diun呢堆工具,以後就唔使逐個去裝,一個介面就可以搞掂曬。
佢嘅定位,係一個比較現代化嘅Docker管理平台,可以話係Portainer嘅一個幾有分量嘅對手。
點解呢樣嘢值得你去留意下?
佢將Portainer嗰邊需要畀錢先用得嘅功能,直接拎出嚟免費提供咗。
呢一點,的確係最令人估唔到嘅地方。
到2025年底嘅時候,Portainer將OIDC/SSO同RBAC,都鎖咗入付費版本裏面。
社區裏面一下子炸咗——好多人用Portainer,本來就係為咗自託管,結果而家想搞一個單點登錄,每年仲要畀幾十歐元。
Dockhand行嘅路線正好相反:OIDC/SSO佢直接免費開放出嚟用,只係將RBAC同LDAP/AD放咗喺企業版度。
如果你想你嘅自託管環境加返單點登錄,用Dockhand係唔使畀錢嘅。
除咗喺認證策略上比較友善之外,佢仲將Docker管理嘅成條鏈都串起咗。
01 容器生命週期嘅管理。
啟動、停止、重啟、刪除呢啲操作,喺介面入面全部都可以一鍵點擊,批量處理都支援。
想睇日誌嘅話,直接㩒入去就可以睇到實時串流,ANSI顏色嘅渲染都冇乜問題,咁樣Dozzle就唔使另外再開。
如果想入到容器入面做啲除錯,直接喺Web端開一個終端就得,SSH完全唔使用。
02 Compose堆疊嘅可視化編輯。
佢入面有一個視覺化嘅編輯器,YAML如果寫錯咗,會直接幫你標出嚟,唔會好似有啲工具咁,只係彈返一句「部署失敗」就冇下文。
更加重要嘅係,佢支援直接由Git倉庫入面將堆疊拉落嚟,設定好webhook之後,每次push操作都會自動觸發部署。
呢個地方,我自己係幾鍾意嘅。
以前如果想搞嗰啲GitOps式嘅部署,一係要自己寫一堆腳本,一係就要拖一套ArgoCD咁比較重型嘅工具過嚟。
Dockhand係將呢種能力收埋喺同一個介面入面,基本上唔使你另外再搞啲乜嘢。
03 鏡像漏洞嘅掃描。
佢入面係內置咗Grype同Trivy呢兩個掃描器。
我諗起以前為咗合規,要做鏡像嘅漏洞掃描。
揾咗啲第三方工具,搞咗好耐先裝到上去。
而家唔使喇。
只要㩒一下,結果即刻就出咗嚟,仲可以按嚴重程度去做篩選。
掃描完之後嘅結果,會按照鏡像嘅SHA256值去做緩存,唔會每次都由頭到尾重新行一次。
04 自動更新,而且係帶埋回滾保護嗰種。
佢支援俾容器設定定時更新任務,唔係拉一個新鏡像就算數嘅粗疏做法。
喺更新之前,佢可以幫你先掃一次漏洞。如果新鏡像嘅漏洞比舊嗰個仲要多,佢能夠自動將今次更新操作擋住。
萬一更新過程中有乜嘢狀況,回滾保護機制仲喺度兜底。
而家估計仲有好多人用Watchtower做自動更新,但係冇漏洞檢查嘅功能,回滾都冇。
估計作者都睇到呢個痛點,就將呢一套全部做到Dockhand入面。
05 透過Hawser Agent進行遠程管理。
佢入面有一個叫做Hawser嘅Agent。
呢個設計的確要話幾聰明下:
Agent只係向外發起WebSocket連接,唔需要喺防火牆上另外開咩端口,都唔使將Docker socket暴露出去。
對於嗰啲匿喺NAT後面,IP地址仲係動態變化嘅伺服器嚟講,呢種方式比直接將TCP端口暴露出去,安全好多。
核心功能講得差唔多,再嚟講下啲令你用起上嚟覺得比較順手嘅小細節。
介面嘅反應速度特別快。
佢係用Svelte 5寫嘅,比起嗰啲仲停留喺老框架嘅工具,感覺清爽好多。
有淺色同深色兩種主題。
另外儀錶板上啲磁貼嘅大細,你都自己可以設定,想睇邊個環境嘅容器狀態,直接拖一下就得。
**採用咗Wolfi硬化鏡像。**
由零開始構建佢自己嘅OS層,每一個套件都喺Dockerfile入面明確寫明。
做到零遙測,唔會背住你偷偷發數據出去。
通知框架嘅整合。
支援SMTP郵件方式,同時都整合咗Apprise,好似Discord、Slack、Telegram、ntfy、Gotify、Pushover等等,總共50幾個服務都可以接埋入嚟。
容器啟動、停止、更新失敗、發現新漏洞呢啲事件,全部都可以自動將通知推送俾你。
講到呢個位,你好有可能會諗:部署起上嚟到底麻唔麻煩?
部署嚟講,其實係相當簡單嘅
一條指令就可以將佢行起嚟:
docker run -d --name dockhand --restart unless-stopped \
-p 3000:3000 \
-v /var/run/docker.sock:/var/run/docker.sock \
-v dockhand_data:/app/data \
fnsys/dockhand:latest
喺瀏覽器入面訪問localhost:3000,就可以用喇。
部署嘅時候有個小伏位都係要提一下:佢預設唔會用root身份運行,Docker socket嗰邊嘅權限可能要自己調整下。
最簡單嘅方法,係加上--user 0:0直接用root去行,唔係嘅話就透過--group-add將Docker組嘅GID加埋入去都得。
當然啦,Dockhand都唔係話完美冇缺。
它目前只支援Docker同Compose,Kubernetes同Swarm呢邊仲管理唔到,呢方面比較起嚟,Portainer的確更全面啲。
另外呢,RBAC呢一類企業級功能,都係要畀錢嘅,不過門檻比Portainer嗰邊低好多——畢竟OIDC/SSO係免費提供,只有RBAC先需要畀錢。
再講下授權許可證方面嘅嘢。
目前用緊BSL 1.1,個人使用、內部商用、非牟利性質同教育用途,全部都係免費嘅,但係你唔可以將佢包裝成一個SaaS服務去賺錢。
到咗2029年1月1號之後,佢會自動轉成Apache 2.0,到嗰個時候就係完全開源。
但話說回頭,如果你只係想將Docker管理好,唔想去搞K8s嗰套複雜嘅嘢,Dockhand係夠用嘅。
寫喺最後
我以前搞營運維護嘅時候,成日都用Docker。
開始學嘅時候基本上全部用指令管理。
後來用熟咗之後,發現Portainer免費仲有介面。
我就順便轉咗過去。
用咗好幾年,講真話都係幾滿意。
不過最近發現咗Dockhand。
上手試咗下,發現更加好用。
真係一代比一代強。
成日同Docker打交道嘅朋友,不妨試下玩下。
留言區話畀我哋知你點樣玩Docker。
項目係基於BSL 1.1協議開放,有興趣嘅朋友,可以去GitHub倉庫睇下源碼同文件。
開源地址:https://github.com/Finsys/dockhand
既然都睇到呢度,歡迎順手幫手點讚、在看、轉發,亦歡迎畀我點個星標⭐,咁就可以收到最新嘅文章,我哋下期見!
5個月的時間,Star 數幹到了 4400。
Docker 管理工具這個圈子,又冒出來一個好東西——Dockhand。
我瞅了一眼它主要就幹了一件事:把Docker容器的管理工作,做得更簡單一些。
管理只是它的一部分。
平時配 Compose 項目,可以直接圖形化編輯,不用一直對着 YAML 文件改。
服務器多了,它也能幫你統一管理遠程機器。
安全和運維這塊同樣沒落下——鏡像漏洞能掃描,更新支持自動化,真出問題還能隨時回滾。
連認證都省得你再額外折騰,OIDC 和 SSO 已經內置,還完全免費。
像 Watchtower,Dozzle,Diun這一堆工具,以後就不用挨個去裝了,一個界面就能全搞定。
它的定位,是一個比較現代化的Docker管理平台,算得上是 Portainer 的一個挺有分量的對手。
為什麼這個東西值得你去關注一下?
它把Portainer那邊需要付費才能用的功能,直接拿出來免費提供了。
這一點,確實是最讓人沒想到的地方。
到2025年底的時候,Portainer把 OIDC/SSO 和 RBAC,都鎖到付費版本里面去了。
社區裏頭一下子就炸了——好多人用 Portainer,本來就是奔着自託管去的,結果現在想搞一個單點登錄,每年還得掏出去幾十歐元。
Dockhand走的路子正好反過來:OIDC/SSO它直接免費開放出來用,只是把RBAC和LDAP/AD放在了企業版裏。
要是你想給自託管環境加上單點登錄的話,用Dockhand是不用花錢的。
除了在認證策略上比較友好之外,它還把Docker管理的一整條鏈都給串起來了。
01 容器生命週期的管理。
啓動,停止,重啓,刪除這些操作,在界面裏頭全都可以一鍵點下去,批量處理也是支持的。
想看日誌的話,直接點進去就能看到實時流,ANSI顏色的渲染也沒什麼毛病,這樣一來,Dozzle就不用單獨再去開了。
要是想進到容器裏面做些調試,直接在Web端打開一個終端就行,SSH完全用不着。
02 Compose棧的可視化編輯。
它裏頭有一個視覺化的編輯器,YAML要是寫錯了,會直接給你標出來,不會像有的工具那樣,只是丟回來一句“部署失敗”就沒下文了。
更要緊的一點是,它支持直接從Git倉庫裏面把棧拉下來,把webhook配置好以後,每一次push操作都能自動去觸發部署。
這個地方,我本人是比較喜歡的。
以前要是想搞那種GitOps式的部署,要麼得自己去寫一堆腳本,要麼就得拖一套ArgoCD那樣比較重的工具過來。
Dockhand是把這種能力收到了同一個界面裏頭,基本上不需要你再額外去折騰什麼東西。
03 鏡像漏洞的掃描。
它裏面是內置了Grype和Trivy這兩個掃描器的。
我想起來以前為了合規,要做鏡像的漏洞掃描。
找了一些第三方工具,折騰半天裝上去。
現在不用了。
只要點一下,結果立馬就出來了,而且還可以按嚴重程度去做過濾。
掃描完之後的結果,會按照鏡像的SHA256值去做緩存,不會每次都從頭到尾重新跑一遍。
04 自動更新,而且是帶着回滾保護的那種。
它支持給容器去配置定時的更新任務,不是拉一個新鏡像就算完事的粗放做法。
在更新之前,它可以先幫你掃一遍漏洞。要是新鏡像的漏洞比舊的那個還要多,它能夠自動把這次更新操作給擋住。
萬一更新過程中出了什麼狀況,回滾保護機制還在那裏兜着底。
現在估計還有很有人在用 Watchtower 做自動更新,但是沒有漏洞檢查的功能,回滾也是沒有的。
估計作者也看到這個痛點,就把這一套全部做到 Dockhand。
05 通過 Hawser Agent 進行遠程管理。
它裏頭有一個叫做 Hawser 的Agent。
這個設計確實得說挺聰明的:
Agent只是往外去發起 WebSocket 連接,不需要你在防火牆上單獨去開什麼端口,也不用把Docker socket暴露出去。
對於那些躲在NAT後面,IP地址還是動態變化的服務器來講,這種方式比直接把TCP端口展露出去,要安全得多。
核心功能說得差不多了,再來聊聊那些讓你用起來感覺比較順手的小細節。
界面的響應速度特別快。
它是用 Svelte 5 寫的,比起那些還停留在老框架上的工具,感覺要清爽不少。
有亮色和暗色兩種主題。
另外儀表盤上那些磁貼的大小,你也可以自己去配置,想看哪個環境的容器狀態,直接拖一下就行了。
** 採用了Wolfi硬化鏡像。**
從零開始構建它自己的 OS 層,每一個包都在 Dockerfile 裏頭顯式寫明。
做到了零遙測,不會揹着你偷偷發數據出去。
通知框架的集成。
支持SMTP郵件方式,同時也集成了Apprise,像Discord,Slack,Telegram,ntfy,Gotify,Pushover等等,總共50多個服務都能接進來。
容器啓動,停止,更新失敗,發現新漏洞這些事件,全都可以自動把通知給你推送出去。
聊到這個地方,你極有可能會想:部署起來到底麻不麻煩?
部署的話,其實是相當簡單的
一條命令就可以把它跑起來:
docker run -d --name dockhand --restart unless-stopped \
-p 3000:3000 \
-v /var/run/docker.sock:/var/run/docker.sock \
-v dockhand_data:/app/data \
fnsys/dockhand:latest
在瀏覽器裏面訪問localhost:3000,就可以用了。
部署的時候有個小坑還是得提一嘴:它默認是不會以root身份去運行的,Docker socket那邊的權限可能要去調一下。
最省事的法子,是加上--user 0:0直接用root去跑,再不然通過--group-add把Docker組的GID加進去也行。
當然了,Dockhand也不是說就完美無缺了。
它目前只支持Docker和Compose,Kubernetes還有Swarm這邊還管不了,這方面比起來,Portainer確實要更全面一些。
另外呢,RBAC這一類企業級功能,也是要付費的,不過門檻要比Portainer那邊低上不少——畢竟OIDC/SSO是免費提供的,只有RBAC才需要花錢。
再來說一下許可證方面的事情。
目前用的是BSL 1.1,個人使用,內部商用,非營利性質還有教育用途,全都是免費的,但是你不能把它包裝成一個SaaS服務拿去賣錢。
到了2029年1月1號以後,它會自動轉成Apache 2.0,到那個時候就是完全開源的了。
但話說回來,如果你只是想把Docker管好,不想去折騰K8s那一套複雜的東西,Dockhand是夠用的了。
寫在最後
我之前搞運維的時候, 經常用 Docker。
剛開始學的時候基本全是用命令來管理。
後來用的熟練之後,發現 Portainer 免費還帶界面。
我就順手換了過去。
用了好幾年,說心裏話還是挺滿意的。
不過最近發現了 Dockhand。
上手試了一下,發現更好用了。
真是一代更比一代強。
經常跟 Docker 打交道的朋友,不妨試着玩一玩。
評論區說說你是怎麼玩 Docker 的。
項目基於 BSL 1.1 協議開放的,感興趣的同學,可以去 GitHub 倉庫翻翻源碼和文檔。
開源地址:https://github.com/Finsys/dockhand
既然都看到這兒了,歡迎隨手幫忙點贊,在看,轉發,也歡迎給我點個星標⭐,這樣就能收到最新的文章了,咱們下期見!