Dockhand: простой и безопасный инструмент для управления Docker

Dockhand — это лёгкая платформа для самохостинга, предназначенная для управления Docker-контейнерами, Docker Compose и удалёнными хостами. Проект делает акцент на безопасности, автоматизации и удобстве, предлагая современный веб-интерфейс без зависимости от внешних облачных сервисов. В отличие от аналогов, Dockhand включает встроенное сканирование уязвимостей, интеграцию с Git и поддержку многофакторной аутентификации.

Что умеет Dockhand

Платформа поддерживает полный цикл работы с контейнерами: запуск, остановка, перезапуск, приостановка и удаление. Встроенный визуальный редактор Docker Compose позволяет редактировать и развёртывать стеки без ручного редактирования YAML-файлов. Пользователи могут настраивать дашборды для разных окружений, отображая состояние контейнеров в виде плиток размером от 1×1 до 2×4. Для работы со стеками доступна интеграция с Git, включая автоматическую синхронизацию и поддержку вебхуков.

Безопасность и управление доступом

Dockhand встраивает сканеры уязвимостей Grype и Trivy, которые проверяют образы перед развёртыванием. Механизм Safe-Pull автоматически блокирует применение новых версий контейнеров, если они содержат критические уязвимости. Для аутентификации поддерживаются локальные учётные записи, OIDC/SSO (Google, Azure AD, Keycloak и другие), а также многофакторная аутентификация на основе TOTP. В коммерческих редакциях доступны интеграция с LDAP/Active Directory, ролевой доступ (RBAC) и расширенный аудит действий.

Работа с удалёнными хостами

Для управления Docker-хостами за NAT или брандмауэрами используется агент Hawser, написанный на Go. Он поддерживает три режима подключения:

• прямой (HTTP/HTTPS с TLS/mTLS)
• стандартный (агент ожидает входящие соединения в локальной сети)
• edge (агент инициирует исходящие соединения)

Агент позволяет централизованно управлять хостами в разных сетях без необходимости открывать входящие порты.

Установка и настройка

Dockhand можно развернуть за 30 секунд с помощью одной команды Docker или Docker Compose. По умолчанию используется SQLite, но для отказоустойчивых конфигураций поддерживается PostgreSQL. Проект работает на платформах x86_64 и ARM64, включая Raspberry Pi 4 и облачные серверы. Образ Dockhand основан на минималистичной дистрибуции Wolfi, что снижает поверхность атаки по сравнению со стандартными образами на базе Alpine или Debian.

Пример команды для быстрого запуска:

docker run -d \
  --name dockhand \
  --restart unless-stopped \
  -p 3000:3000 \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v dockhand_data:/app/data \
  fnsys/dockhand:latest

Для работы с несколькими хостами и обеспечения отказоустойчивости можно использовать Docker Compose с отдельным контейнером PostgreSQL. Проект не собирает телеметрию и не передаёт данные третьим лицам.

Автоматизация и мониторинг

Dockhand поддерживает автоматическое обновление контейнеров с возможностью отката при обнаружении критических уязвимостей. Администраторы могут настраивать политики обновлений:

• блокировать развёртывание, если новые образы содержат уязвимости критического или высокого уровня
• игнорировать низкоуровневые угрозы

Для оповещений интегрированы SMTP, Discord, Slack, Telegram и более 50 других сервисов через Apprise.

Встроенные инструменты мониторинга включают:

• дашборды с метриками использования CPU, памяти и диска
• трекинг событий жизненного цикла контейнеров
• файловый менеджер для работы с томами и контейнерами (загрузка, скачивание и редактирование файлов без SSH)

Лицензия и редакции

Бесплатная версия Dockhand предназначена для личного использования и небольших проектов. Она включает все основные функции, кроме интеграции с LDAP/AD и ролевого доступа. Коммерческие редакции для SMB и предприятий отличаются поддержкой LDAP/AD, RBAC, расширенным аудитом и приоритетной технической поддержкой.

Лицензия проекта — BSL 1.1, которая позволяет использовать ПО бесплатно для внутренних задач, но запрещает его продажу до 2029 года. Пользователи отмечают, что образ можно оптимизировать до ~320 МБ за счёт удаления лишних пакетов (по умолчанию ~600 МБ).

Кому подходит Dockhand

Инструмент востребован у владельцев домашних лабораторий и небольших команд, которым нужна простая и безопасная альтернатива Portainer. Разработчики ценят визуальный редактор Compose и интеграцию с Git, а DevOps-инженеры — удалённое управление хостами за NAT и расширенные механизмы аутентификации.

Для предприятий с высокими требованиями к безопасности и соответствию стандартам доступны коммерческие редакции с LDAP/AD, ролевым доступом и аудитом. Проект продолжает активно развиваться, а выпускная версия 1.0 нацелена на улучшение стабильности и расширение функциональности для работы с Kubernetes.