bruceforce/vaultwarden-backup
bruceforce
一个基于cron的简单备份镜像,为Vaultwarden提供自动和手动备份功能,支持文件加密、旧备份清理、自定义备份内容等特性,适用于无法直接添加cron任务的系统。
28 次收藏下载次数: 0状态:社区镜像维护者:bruceforce仓库类型:镜像最近更新:25 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Vaultwarden Backup
一个基于cron的简单备份镜像,用于https://github.com/dani-garcia/vaultwarden%E3%80%82
⚠️ 由于Bitwarden_RS已https://github.com/dani-garcia/vaultwarden/discussions/1642#discussion-3344543%E4%B8%BAVaultwarden%EF%BC%8C%E6%9C%AC%E9%A1%B9%E7%9B%AE%E4%B9%9F%E6%9B%B4%E5%90%8D%E4%B8%BAvaultwarden-backup%E3%80%82%E4%B8%BA%E6%96%B9%E4%BE%BF%E8%B5%B7%E8%A7%81%EF%BC%8C%E6%88%91%E4%BC%9A%E7%BB%A7%E7%BB%AD%E5%B0%86%E9%95%9C%E5%83%8F%E6%8E%A8%E9%80%81%E5%88%B0%E6%97%A7%E7%9A%84Docker%E4%BB%93%E5%BA%93%EF%BC%8C%E4%BD%86%E5%BB%BA%E8%AE%AE%E6%82%A8%E6%8A%BD%E7%A9%BA%E5%88%87%E6%8D%A2%E5%88%B0%E6%96%B0%E4%BB%93%E5%BA%93 https://hub.docker.com/r/bruceforce/vaultwarden-backup,只需将 bruceforce/bw_backup 镜像替换为 bruceforce/vaultwarden-backup 即可。
为什么使用vaultwarden-backup?
您可能会问:“既然可以将Vaultwarden文件包含在常规备份中,为什么还要用容器来备份?” 使用常规备份软件备份数据库时,一个注意事项是:应在备份前停止数据库服务器,否则可能导致数据丢失。因此,需要使用正确的数据库备份命令。
当然,您也可以在主机上创建cron任务,例如 sqlite3 "$VW_DATABASE_URL" ".backup '$BACKUP_FILE_DB'",并使用首选备份解决方案备份其他文件和文件夹(如附件文件夹)。
但在某些系统上,您无法自行添加cron任务(例如常见的NAS厂商不允许),这就是本镜像存在的原因。此外,它还会包含最重要的文件并将其打包为 tar.xz 归档文件,方便您的常规备份软件处理。
备份中包含哪些文件?
默认情况下,备份包含Vaultwarden官方wiki https://github.com/dani-garcia/vaultwarden/wiki/Backing-up-your-vault 推荐的所有文件。您可以通过环境变量修改此行为。
使用方法
从v0.0.7版本开始,您可以始终使用 latest 标签,因为镜像支持多架构。当然,您也可以使用版本标签 vx.y.z 以固定到特定版本。但请注意,固定版本后,alpine基础镜像将不会收到安全更新。
确保您的vaultwarden容器名称为 vaultwarden,否则需要在 docker run 命令的 --volumes-from 部分替换容器名称。
自动备份
容器内运行cron守护进程,容器将在后台持续运行。
最简单的使用方式是调整 docker-compose.yml 以满足您的需求。以下是使用 docker run 的示例命令:
使用默认设置启动备份容器(每天凌晨5点自动备份)
shdocker run -d --restart=always --name vaultwarden-backup --volumes-from=vaultwarden bruceforce/vaultwarden-backup
每小时备份示例
shdocker run -d --restart=always --name vaultwarden-backup --volumes-from=vaultwarden -e CRON_TIME="0 * * * *" bruceforce/vaultwarden-backup
30天后删除旧备份示例
shdocker run -d --restart=always --name vaultwarden-backup --volumes-from=vaultwarden -e TIMESTAMP=true -e DELETE_AFTER=30 bruceforce/vaultwarden-backup
手动备份
您可以使用主机的crontab调度备份,容器仅在备份过程中运行。
shdocker run --rm --volumes-from=vaultwarden bruceforce/vaultwarden-backup manual
如果希望备份文件存储在容器外部,需要挂载目录,添加 -v <主机路径>:<容器内路径>。完整命令示例:
shdocker run --rm --volumes-from=vaultwarden -e UID=0 -e BACKUP_DIR=/myBackup -e TIMESTAMP=true -v $(pwd)/myBackup:/myBackup bruceforce/vaultwarden-backup manual
请记住,命令在容器内执行。因此 $BACKUP_DIR 可以是容器内的任何位置。最简单的方式是设置为 /data/backup,这会在原始数据库文件旁边创建备份。
加密/解密
备份tar.xz归档文件可以选择加密。如果您在保险库中存储敏感附件(如ssh密钥)并将备份保存在不受信任的位置,这会很有用。
由于我们使用tar命令(Linux系统上最常见),而tar本身没有加密标志,因此使用gpg加密tar.xz归档文件。有两种加密方式:对称和非对称,只能选择一种。如果同时设置两种环境变量,将仅执行非对称加密。
通过密码加密(对称)
最简单的加密方式是使用密码进行对称加密。通过设置环境变量 ENCRYPTION_PASSWORD=<您的密码> 实现。
在某些情况下,将密码存储为环境变量可能不合适,此时可以使用gpg公钥加密备份。
通过gpg公钥加密(非对称)
另一种加密方式是使用gpg公钥。公钥需要提供为无换行的base64字符串。在大多数系统上,可以通过 base64 -w 0 公钥路径.asc 生成。然后设置环境变量 ENCRYPTION_BASE64_GPG_KEY 为生成的base64编码公钥。
解密
要解密文件,运行 gpg --decrypt backup.tar.xz.gpg > backup.tar.xz。此命令适用于两种加密方式。如果使用gpg公钥加密,需先将gpg密钥对导入本地密钥环;对称加密只需输入密码。
恢复
为防止意外数据丢失,没有自动恢复流程。如需恢复备份,请手动执行以下步骤(假设备份位于 ./backup/,vaultwarden数据位于 /var/lib/docker/volumes/vaultwarden/_data/):
sh# 删除现有sqlite3文件 rm /var/lib/docker/volumes/vaultwarden/_data/db.sqlite3* # 提取归档文件(可能需要先安装xz) tar -xJvf ./backup/data.tar.xz -C /var/lib/docker/volumes/vaultwarden/_data/
环境变量
默认值参见 src/opt/scripts/set-env.sh
| ENV | 描述 |
|---|---|
| APP_DIR | 容器内的应用目录(不应修改) |
| APP_DIR_PERMISSIONS | 容器内应用目录的权限(不应修改) |
| BACKUP_ADD_DATABASE 1 | 设为 true 以在备份中包含数据库本身 |
| BACKUP_ADD_ATTACHMENTS 1 | 设为 true 以在备份中包含附件文件夹 |
| BACKUP_ADD_CONFIG_JSON 1 | 设为 true 以在备份中包含 config.json |
| BACKUP_ADD_ICON_CACHE 1 | 设为 true 以在备份中包含图标缓存文件夹 |
| BACKUP_ADD_RSA_KEY 1 | 设为 true 以在备份中包含RSA密钥 |
| BACKUP_ADD_SENDS 1 | 设为 true 以在备份中包含sends文件夹 |
| BACKUP_DIR | 容器内备份文件夹路径 |
| BACKUP_DIR_PERMISSIONS | 备份文件夹权限(注意 2)。设为-1禁用 |
| BACKUP_ON_STARTUP | 容器启动后立即创建备份 |
| CRONFILE | 容器内cron文件路径 |
| CRON_TIME | cron任务格式 "分 时 日 月 周 年" |
| DELETE_AFTER | X天后删除旧备份。设为0禁用 |
| ENCRYPTION_ALGORITHM 3 | 对称加密算法(仅与ENCRYPTION_PASSWORD一起使用) |
| ENCRYPTION_BASE64_GPG_KEY | BASE64编码的gpg公钥。设为 false 禁用 |
| ENCRYPTION_GPG_KEYFILE_LOCATION | 容器内gpg公钥文件路径(不应修改) |
| ENCRYPTION_PASSWORD | 对称加密密码。设为 false 禁用 |
| TIMESTAMP | 设为 true 以在备份文件名后附加时间戳 |
| GID | 运行cron任务的组ID |
| GNUPGHOME | 容器内GNUPG主目录(不应修改) |
| GNUPGHOME_PERMISSIONS | GNUPG主目录权限(不应修改) |
| HEALTHCHECK_URL | 设置健康检查URL,如 <[***]> |
| HEALTHCHECK_FILE | 本地健康检查(容器健康)文件路径 |
| HEALTHCHECK_FILE_PERMISSIONS | 本地健康检查(容器健康)文件权限 |
| LOG_LEVEL | 支持DEBUG、INFO、WARNING、ERROR、CRITICAL |
| LOG_DIR | 容器内日志文件文件夹路径 |
| LOG_DIR_PERMISSIONS | 日志文件文件夹权限。设为-1禁用 |
| TZ | 设置容器内时区 4 |
| UID | 运行cron任务的用户ID |
| VW_DATA_FOLDER 5 | 容器内vaultwarden数据文件夹位置 |
| VW_DATABASE_URL 5 | 容器内vaultwarden数据库文件位置 |
| VW_ATTACHMENTS_FOLDER 5 | 容器内vaultwarden附件文件夹位置 |
| VW_ICON_CACHE_FOLDER 5 | 容器内vaultwarden图标缓存文件夹位置 |
常见问题(FAQ)
出现“unable to open database file”错误
Error: unable to open database file 很可能是权限错误。注意,sqlite3在备份时会在源目录创建锁文件,因此源目录和目标目录都需要对用户有读写权限。可通过上述 UID 和 GID 环境变量设置用户和组ID。
数据库锁定
Error: database is locked 很可能是因为备份位置与vaultwarden数据库不在同一文件系统(如网络文件系统)。
默认情况下,Vaultwarden使用WAL(预写日志)。可通过检查数据库文件同目录是否存在 db.sqlite3-wal 文件确认。根据SQLite官方文档,WAL在网络共享场景下会出现问题(参见 https://www.sqlite.org/wal.html%EF%BC%89%EF%BC%9A
所有使用数据库的进程必须在同一主机上;WAL不支持网络文件系统。
有两种解决方法:
- 选择本地目录作为备份目标,然后使用
cp或rsync等工具将备份文件复制到网络文件系统。 - 禁用Vaultwarden的WAL。指南参见(https://github.com/dani-garcia/vaultwarden/wiki/Running-without-WAL-enabled%EF%BC%89%E3%80%82
日期时间问题/时间戳错误
如需备份文件名的时间戳使用本地时区,应挂载 /etc/timezone:/etc/timezone:ro 和 /etc/localtime:/etc/localtime:ro,如 docker-compose.yml 所示。另一种方法是设置环境变量(如 TZ=Asia/Shanghai)(参见 <[***]>)。
注意 如使用ARM平台,本项目基于alpine构建以保持轻量。alpine 3.13及以上版本在ARM平台可能出现时间日期错误(如显示1900年)。这是alpine已知问题(参见 https://github.com/alpinelinux/docker-alpine/issues/141 和 https://wiki.alpinelinux.org/wiki/Release_Notes_for_Alpine_3.13.0#time64_requirements%EF%BC%89%E3%80%82alpine wiki中提供了修复方案,我已在树莓派上测试有效。如应用修复后仍有问题,可提交issue。
为什么容器以root用户启动?
构建此镜像的主要目的是让用户在无法添加cron任务的主机系统上,或需要不依赖主机OS机制的“可移植”调度任务时使用。
由于 crond 必须 以root用户运行,因此使用cron时无法以非root用户启动容器。我知道有其他任务调度器(如 https://github.com/aptible/supercronic%EF%BC%89%E6%94%AF%E6%8C%81%E9%9D%9Eroot%E8%BF%90%E8%A1%8C%EF%BC%8C%E4%BD%86%E7%9B%AE%E5%89%8D%E4%BB%8D%E9%80%89%E6%8B%A9%E4%BD%BF%E7%94%A8%E6%A0%87%E5%87%86%E6%88%90%E7%86%9F%E7%9A%84cron%E7%B3%BB%E7%BB%9F%E3%80%82
为什么使用sh而非bash?
Alpine默认未安装bash。预装的 ash shell足以满足本镜像的任务需求,且无需额外安装bash等工具,因此使用 /bin/sh。脚本也力求符合POSIX标准,以便在需要时轻松切换基础镜像。
Footnotes
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 vaultwarden-backup 镜像标签
docker pull docker.xuanyuan.run/bruceforce/vaultwarden-backup:<标签>
DockerHub 原生拉取命令
docker pull bruceforce/vaultwarden-backup:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"