自动更新 on Liangweidong's blog

Watchtower 容器自动更新：守护所有容器的升级

Sat, 15 Jun 2024 00:00:00 +0800

Docker 镜像升级是日常运维里最烦又最不能不做的事——CVE 漏洞、版本过期、安全审计都要求镜像保持最新。Watchtower 把这件"每月手动 docker pull + restart"的事自动化：它会按周期拉取镜像、检查新版本、自动重启容器。

阅读对象：管 5+ 容器实例的运维 / DevOps 覆盖范围：Watchtower 基础用法 + 选择性更新 + 标签筛选 + 远程仓库认证 + 远程主机升级 + 定时调度 + 监控日志

一、为什么需要 Watchtower

手动升级 Docker 容器的痛点：

CVE 爆出 → 需要紧急升级 nginx → 10 台机器挨个 pull + restart
测试环境新版本发布 → 手动改 5 个 compose 文件
半夜收到 Prometheus 告警 → 紧急 docker pull redis:7.2-alpine

Watchtower 本质：把"定期升级"做成可调度、可过滤、可观测的 cron 任务。

When to use：

测试 / 预发环境镜像更新（强烈推荐）

内部工具的镜像（推荐）

生产环境（谨慎使用，建议灰度 + 人工 confirm）

不适用：需要特殊启动参数 / 一次性初始化（如数据库迁移）的镜像——升级可能丢数据。

二、最小化启动

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c

参数说明：

-v /var/run/docker.sock：必须挂载，Watchtower 通过 Docker API 操作其他容器
-c / --cleanup：升级后自动删除旧镜像——避免磁盘满

启动后 Watchtower 默认 每 5 分钟轮询一次所有运行容器的镜像，看是否有新版本。

三、选择性更新

只升级特定容器，避免 Watchtower 动到不该动的：

1
2
3
4
5
6
7


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 nginx redis mysql

nginx redis mysql 是容器名列表——只升级这几个，其他的不动。

3.1 通过文件列表更新

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 创建列表
cat > ~/.watchtower.list <<'EOF'
aria2-pro
unlockmusic
mtg
nginx
EOF

# 2. 启动
docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 -v /root/.watchtower.list:/root/.watchtower.list:ro \
 containrrr/watchtower \
 -c \
 $(cat ~/.watchtower.list)

好处：增删容器名只改文件，不用重启 Watchtower。

四、排除特定容器

给容器加 label com.centurylinklabs.watchtower.enable=false，Watchtower 会自动跳过：

1
2
3
4
5
6
7
8


docker run -d \
 --name openwrt-mini \
 --restart always \
 --network openwrt \
 --privileged \
 --label com.centurylinklabs.watchtower.enable=false \
 p3terx/openwrt-mini \
 /sbin/init

反向操作：watchtower 只升级显式标记的容器，其他一律不管。

启动 Watchtower 时加 --label-enable：

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --label-enable

启动容器时加 --label com.centurylinklabs.watchtower.enable=true：

1
2
3
4
5


docker run -d \
 --name my-critical-app \
 --restart always \
 --label com.centurylinklabs.watchtower.enable=true \
 myapp:latest

五、调度频率

5.1 间隔模式

1
2
3
4
5
6
7


# 每 3600 秒（1 小时）检查一次
docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --interval 3600

5.2 Cron 模式

1
2
3
4
5
6
7


# 每天凌晨 2 点检查
docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --schedule "0 0 2 * * *"

注意：Watchtower 的 cron 是 6 位（秒分时日月周），比传统 cron 多 1 位秒。

六、私有 Registry 认证

公司用 Harbor 时，Watchtower 升级私有镜像需要认证：

1
2
3
4
5
6
7
8
9


docker run -d \
 --name watchtower \
 --restart always \
 -e REPO_USER=admin \
 -e REPO_PASS={{REDACTED}} \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 base

环境变量 REPO_USER / REPO_PASS 会被 Watchtower 用于 docker login Harbor。

更安全的做法：用 ~/.docker/config.json 挂载：

1
2
3
4
5
6
7
8


docker run -d \
 --name watchtower \
 --restart always \
 -v /root/.docker/config.json:/config.json \
 -e REPO_USER=$(jq -r .auths."dockerhub.example.com".auth /config.json | base64 -d | cut -d: -f1) \
 -e REPO_PASS=$(jq -r .auths."dockerhub.example.com".auth /config.json | base64 -d | cut -d: -f2) \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower

七、远程主机升级

通过 DOCKER_HOST 环境变量，让本机 Watchtower 升级远程机器的容器：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


docker run -d \
 --name watchtower \
 --restart always \
 -e REPO_USER=admin \
 -e REPO_PASS={{REDACTED}} \
 -e DOCKER_HOST="tcp://203.0.113.10:2375" \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 base

前提：远程机器的 Docker daemon 监听 0.0.0.0:2375。

生产强烈推荐 TLS（tcp://host:2376 + CA 证书），避免 2375 明文端口被扫到。

八、手动触发更新

偶尔需要立即升级某容器（不等调度），用 --run-once：

1
2


docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -cR aria2-pro

参数：

-c：清理旧镜像
-R / --run-once：跑一次就退出，不进入常驻守护模式

适用场景：

CVE 紧急升级
调试时反复升级测
一次性升级指定容器

九、监控与日志

9.1 看实时日志

1

docker logs -f watchtower

输出示例：

1
2
3
4


time="2024-06-15T03:00:00Z" level=info msg="Found new redis:7.2-alpine image"
time="2024-06-15T03:00:01Z" level=info msg="Stopping /running redis (abc123)"
time="2024-06-15T03:00:05Z" level=info msg="Creating /running redis (def456)"
time="2024-06-15T03:00:10Z" level=info msg="Updated container redis"

9.2 接入 Loki / ELK

1
2
3
4
5
6
7
8
9


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 --log-driver=loki \
 --log-opt loki-url="http://internal.example.com:3100/loki/api/v1/push" \
 --log-opt max-size="50m" \
 --log-opt max-file="10" \
 containrrr/watchtower

告警规则（Loki + Grafana）：

1
2


# 升级失败告警
{job="watchtower"} |= "level=error"

9.3 Prometheus 指标（通过 cAdvisor）

Watchtower 自身不暴露 metrics 端点，但它操作的容器被 cAdvisor 抓取——可以看每个容器重启次数。

十、典型坑位

10.1 Watchtower 自己被升级

症状：Watchtower 升级自己时失败，陷入死循环。

修复：给 Watchtower 加 disable label：

1
2
3
4
5
6
7


docker run -d \
 --name watchtower \
 --restart always \
 --label com.centurylinklabs.watchtower.enable=false \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c

或者用 --label-enable 模式 + 给所有其他容器显式 enable。

10.2 升级后容器启动失败

症状：Watchtower 升级 redis:7.2 → 7.4，但 7.4 改了配置文件路径，容器启动失败。

修复：升级前在测试环境验证；或者用 --no-restart 模式只下载不重启：

1
2
3
4
5


docker run -d \
 --name watchtower \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 --no-restart

人工确认升级后的容器能起来，再 docker restart。

10.3 数据库容器被升级丢数据

症状：MySQL 8.0.36 → 8.4 自动升级，数据文件结构不兼容，启动报错。

修复：永远别让 Watchtower 自动升级数据库——给 mysql / postgres / mongodb 容器加 disable label。

10.4 大量容器同时升级

症状：20 个容器同时重启，业务抖动 30 秒。

修复：分批升级——用容器名列表分多个 Watchtower：

1
2
3
4
5
6
7


# Watchtower 1：升级 nginx / redis
docker run -d --name wt-frontend -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c nginx redis --schedule "0 0 2 * * *"

# Watchtower 2：升级 backend
docker run -d --name wt-backend -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c api worker scheduler --schedule "0 30 2 * * *"

十一、生产级建议

11.1 灰度升级

1
2
3
4
5
6
7
8


# 1. 升级 1 台机器（canary）
DOCKER_HOST=tcp://host-1:2375 watchtower -cR --run-once api

# 2. 监控 5 分钟无异常
# 3. 批量升级其他机器
for host in host-2 host-3 host-4; do
 DOCKER_HOST=tcp://$host:2375 watchtower -cR --run-once api
done

11.2 升级前快照

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 1. 升级前 commit 当前容器为镜像
docker commit api api:pre-upgrade-backup

# 2. 触发升级
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -cR api

# 3. 监控 10 分钟

# 4. 出问题回滚
docker stop api
docker rm api
docker run -d --name api api:pre-upgrade-backup

11.3 通知集成

Slack 通知（用 [shouts](https://github.com/containrrr/shoutrrr) 库，Watchtower 内置支持）：

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 -v /var/run/docker.sock:/var/run/docker.sock \
 -e WATCHTOWER_NOTIFICATIONS=shoutrrr \
 -e WATCHTOWER_NOTIFICATION_URL=slack://token@channel \
 containrrr/watchtower

支持的通知方式：Slack / Discord / Telegram / Email / Pushover / Gotify / Microsoft Teams / Mattermost / Smtp。

十二、完整生产配置示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


version: "3.8"
services:
 watchtower:
 image: containrrr/watchtower
 container_name: watchtower
 restart: always
 volumes:
 - /var/run/docker.sock:/var/run/docker.sock
 environment:
 - TZ=Asia/Shanghai
 - WATCHTOWER_LABEL_ENABLE=true  # 只升级标记的容器
 - WATCHTOWER_INCLUDE_STOPPED=false
 - WATCHTOWER_CLEANUP=true
 - WATCHTOWER_SCHEDULE=0 0 3 * * *  # 每天凌晨 3 点
 - WATCHTOWER_TIMEOUT=60s
 - REPO_USER=admin
 - REPO_PASS={{REDACTED}}
 - WATCHTOWER_NOTIFICATIONS=shoutrrr
 - WATCHTOWER_NOTIFICATION_URL=slack://{{SLACK_TOKEN}}@{{SLACK_CHANNEL}}
 labels:
 - "com.centurylinklabs.watchtower.enable=false" # 自身不升级

业务容器（要被自动升级的）：

1
2
3
4
5


services:
 nginx:
 image: nginx:1.25-alpine
 labels:
 - "com.centurylinklabs.watchtower.enable=true"

十三、Watchtower 替代方案

工具	优势	劣势
Watchtower	简单、单二进制	不支持 K8s
Diun（diun）	只通知不升级，安全首选	不自动操作
Renovate / Dependabot	适合 K8s manifest 自动 PR	需要 GitOps 体系
ArgoCD Image Updater	K8s 生态完整	K8s only

K8s 用户推荐 ArgoCD Image Updater + Renovate 组合——Watchtower 在 K8s 里不是最佳实践。

十四、安全加固清单

/var/run/docker.sock 权限最小化：默认是 root 拥有，容器挂载后相当于 root in container
加 label disable：防止 Watchtower 升级自己
数据库容器 disable：避免自动升级导致数据丢失
审计日志：所有 Watchtower 操作都进 Loki，定期回看
CVE 优先级：用 Diun + Watchtower 组合，先通知再决定升不升

2024+ 视角补充

本文写于 2024-06，2024-2026 期间容器自动更新工具演进：

Watchtower 1.7+（2024）：Podman 原生支持（除 Docker 外）；OCI 1.1+ 镜像清单；HTTP API（查询 / 触发 / 状态）；Healthcheck endpoint
Diun 4.x（2024-2025）：仍是 “只通知不升级” 首选——配合 Watchtower 是稳态组合
Renovate / Dependabot 2024+：K8s manifest 自动 PR 仍是 GitOps 体系推荐
ArgoCD Image Updater 0.13+：K8s 自动化 + GitOps 黄金组合
K8s 场景新选择：Keel.sh（轻量 Deployment 自动滚动）；Pulumi + Kubernetes Operator
OrbStack / Docker Desktop 5.x：本地开发环境已经内置自动更新检测

实战建议（2025-2026 视角）：

Docker 单机 / VM → Watchtower + Diun 仍是首选
K8s → ArgoCD Image Updater + Renovate 黄金组合
企业合规 → Diun 通知 + 人工审核 + 灰度（不要让 Watchtower 自动升级生产数据库）
新趋势：AI 辅助 CVE 评估（如 Snyk / Aikido）——自动判断镜像升级是否引入 breaking change

下一步

想看 VPN 与代理自托管（OpenVPN / V2Ray）→ VPN 与代理自托管
想看 站点与博客自托管（WordPress / WVP 视频监控）→ 站点与博客自托管
想看 Vaultwarden 密码管理（Bitwarden 自托管）→ Vaultwarden 密码管理
想看 MinIO 对象存储实战（S3 兼容对象存储）→ MinIO 对象存储实战

Watchtower 容器自动更新：定时检测、选择性更新与远程主机

Mon, 15 Mar 2021 00:00:00 +0800

容器跑起来之后，“镜像更新"是个让人纠结的事——不更新吧，安全漏洞累积；更新吧，业务容器一重启服务就断。Watchtower 解决了"无痛更新”：定时拉取镜像、检测到更新就停掉旧容器、用新镜像起一个新容器、把端口/网络/卷全部恢复。这篇文章讲清楚 Watchtower 容器化部署、清理旧镜像、选择性更新、监控频率、远程主机对接。

阅读对象：在多容器环境里希望"装完不用管"、或者要给客户做无人值守部署的运维同学
覆盖范围：Watchtower 容器化部署、cleanup 选项、容器名过滤、标签选择、interval/schedule 频率、远程 Docker Host、Harbor 私有仓库凭据

一、为什么是 Watchtower

容器自动更新工具里，Watchtower 是事实标准：

零侵入：跑一个 sidecar 容器，监控 Docker daemon，不动现有 docker-compose
可选择性：可以只更新部分容器（按名字/标签过滤）
可灰度：--run-once 手动触发、--label-enable 白名单模式
可远程：能监控远程 Docker Host 上的容器
开源活跃：containrrr 组织维护，GitHub 1w+ stars

When to use：业务容器是"无状态"、“镜像无破坏性变更”、“出问题可快速回滚"的场景，Watchtower 几乎是首选。如果是数据库这种"有状态升级"或"必须停机升级"的场景，Watchtower 不合适。

二、容器化部署

2.1 最简启动

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c

挂载 /var/run/docker.sock：Watchtower 通过 Docker API 拉镜像、停旧容器、起新容器，没有这个挂载就什么也做不了。 -c (--cleanup)：每次更新后清理旧镜像，否则磁盘会被旧镜像塞满。

2.2 选择性自动更新（按容器名）

1
2
3
4
5
6
7


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 nginx redis

nginx redis 是被监控的容器名（不是镜像名）。docker ps 看到的 NAMES 列填进去即可。Watchtower 会只监控这俩容器，其它不管。

2.3 配置文件方式（容器多了之后）

容器列表写在文件里：

1
2
3
4


cat ~/.watchtower.list
aria2-pro
unlockmusic
mtg

1
2
3
4
5
6
7


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 $(cat ~/.watchtower.list)

注意空格：$(cat ...) 会把换行替换成空格，正好是 Watchtower 的命令行格式。

三、排除与白名单

3.1 排除特定容器（label 模式）

给容器加 label com.centurylinklabs.watchtower.enable=false：

1
2
3
4
5
6
7
8


docker run -d \
 --name openwrt-mini \
 --restart always \
 --network openwrt \
 --privileged \
 --label com.centurylinklabs.watchtower.enable=false \
 p3terx/openwrt-mini \
 /sbin/init

Watchtower 看到这个 label 就跳过。

3.2 白名单模式（只更新带 label 的）

启动时加 --label-enable（简写 -e）：

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --label-enable

关键：要把 --label-enable 加在 Watchtower 自己的启动参数上，被监控容器加 label com.centurylinklabs.watchtower.enable=true，Watchtower 只更新这种容器。

四、更新频率控制

4.1 默认行为

Watchtower 默认每 5 分钟轮询一次。

4.2 interval（秒）

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --interval 3600

--interval 3600：每 3600 秒（1 小时）检查一次。

4.3 schedule（6 字段 Cron）

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --schedule "0 0 2 * * *"

6 字段 Cron：第一位是秒（0 0 2 * * * 表示"每天 02:00:00”），与 Linux crontab 的 5 字段格式不一样。推荐：0 0 3 * * *（凌晨 3 点）——业务低峰期，重启容器对用户影响最小。

4.4 手动更新（–run-once）

Watchtower 默认常驻后台；--run-once 让它跑一次就退出，适合“白天手动触发更新”：

1
2
3


docker run --rm \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -cR aria2-pro

-R = --run-once：跑一次就退出。容器被 docker run --rm 自动清理。

五、远程 Docker Host

Watchtower 能监控远程主机上的容器（前提：远程 Docker daemon 监听 TCP 端口，且能认证）：

1
2
3
4
5
6
7
8
9


docker run -d \
 --name watchtower \
 --restart always \
 -e REPO_USER=admin \
 -e REPO_PASS={{REDACTED}} \
 -e DOCKER_HOST="tcp://{{REMOTE_DOCKER_HOST}}:2375" \
 containrrr/watchtower \
 -c \
 base

远程 Docker 监听 TCP 2375（明文） 有安全风险，生产环境必须用 TLS（2376）。配置方式：DOCKER_HOST=tcp://host:2376 + -e DOCKER_TLS_VERIFY=1 + -v /path/to/certs:/certs。

DOCKER_HOST 与 -v 冲突：Watchtower 用 -e DOCKER_HOST 时不需要挂载 /var/run/docker.sock，否则两个 Docker daemon 都会跑（本地和远程同时管），按需取舍。

六、私有仓库（Harbor / 自建 registry）

如果镜像在私有仓库，Watchtower 拉镜像需要凭据：

1
2
3
4
5
6
7
8
9


docker run -d \
 --name watchtower \
 --restart always \
 -e REPO_USER=admin \
 -e REPO_PASS={{REDACTED}} \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 base

base 是镜像名（不是容器名）：Harbor 仓库里项目叫 base，Watchtower 就会拉 {{REGISTRY}}/base/* 下的所有镜像。

七、踩坑清单

磁盘吃光——忘了 -c/--cleanup，旧镜像累积几个 G
数据库被自动升级——Postgres / MySQL 这种"有状态"服务，Watchtower 升级可能直接破坏数据，强烈建议加 label 排除
配置/数据卷没挂出来——Watchtower 升级只会保留"挂载进容器的卷"，容器内 /etc/nginx/conf.d 这种直接放容器内的文件会丢
Watchtower 把自己升级挂了——--restart=always 不一定能救回，因为新版可能改了 entrypoint；建议固定 tag 不追 latest
频繁重启影响业务——--interval 设太短（如 60s），凌晨业务被意外重启。生产用 --schedule 凌晨低峰
远程 Docker Host 防火墙——DOCKER_HOST=tcp://... 远程 daemon 端口（2375/2376）没在远程主机防火墙开放

八、参考资料

Watchtower 官方仓库：https://github.com/containrrr/watchtower
文档：https://containrrr.dev/watchtower/
Docker daemon TLS 配置：https://docs.docker.com/engine/remote-access/

下一步

想做安全镜像仓库？→ 看 Harbor 相关文章（0.4 批次已收录）
想用 K8s 部署？→ 看 K8s 集群流量入口 Ingress-nginx 一文
一站式监控告警？→ HertzBeat 轻量监控告警一文

Win10 装机必备：关闭自动更新 + 软件清单 + 系统调优

Mon, 15 Dec 2014 00:00:00 +0800

一、为什么 Win10 装机"必做事"比装系统本身还多

2014 年 9 月底 Win10 10240 正式版发布，“自动更新关不掉"成为装机第一痛——尤其是开发机，凌晨 3 点更新重启会打断所有未保存的工作。Win10 之后：

Windows Update 服务被拆成多个子模块，单纯停服务还会被"恢复"机制拉起
传递优化（Delivery Optimization）会主动把你的带宽分享给其他 Win10 用户（P2P 模式）
存储感知（Storage Sense） 会自动删下载文件夹和回收站

本文把"装机后必做的 7 件事"整理成 30 分钟 SOP，覆盖普通办公、研发 / 运维双场景。

二、关闭自动更新：四管齐下

重要提醒：彻底关闭 Win10 自动更新是个"魔高一尺道高一丈"的过程，微软每年都在改机制。2014-2024 年的策略已经迭代至少 4 次，本文用 2024 年还能用的方案。

2.1 停 Windows Update 服务 + 改恢复策略

1
2
3
4
5
6


1. Win+R → services.msc
2. 找到 "Windows Update" 服务
3. 双击 → 启动类型选 "禁用"
4. 切到 "恢复" 选项卡
5. "第一次失败 / 第二次失败 / 后续失败" 全部改为 "无操作"
6. 点击 "应用" → "确定"

关键：只改启动类型还不够——Windows 有"服务失败恢复"机制，默认是失败后重启服务，所以"恢复"选项卡必须改成"无操作”。

2.2 任务计划程序禁用

1
2
3
4
5


1. Win+R → compmgmt.msc
2. 系统工具 → 任务计划程序 → 任务计划程序库
3. 找到 "Microsoft → Windows → WindowsUpdate"
4. 把里面的 Scheduled Start / Scheduled Maintenance / 等等所有项
5. 全部右键 "禁用"

2014-2024 期间，Win10 升级过多个版本——任务计划程序里的子项名字会变（有的是 UpdateOrchestrator、有的是 WaaSMedic），遇到新的就把所有可疑的全禁用。

2.3 删残留更新目录

1
2


1. 删除 C:\ 盘根目录下的 "Windows10Upgrade" 文件夹（如果没有就跳过）
2. 删除 C:\Windows 目录下的 "UpdateAssistant" 和 "UpdateAssistantV2" 文件夹

这两个目录是"Windows 10 升级助手"留下的，每次大版本更新后会重新生成，定期清理。

2.4 终极方案：组策略 / 注册表

如果是 Win10 Pro / Enterprise，gpedit.msc 可用：

1
2
3


1. Win+R → gpedit.msc
2. 计算机配置 → 管理模板 → Windows 组件 → Windows 更新
3. 双击 "配置自动更新" → 选 "已禁用"

如果是 Win10 Home（没有 gpedit.msc），改注册表：

1
2
3
4


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001

NoAutoUpdate = 1 是注册表级别的"完全关闭更新"。生效后 Windows Update 服务仍存在但不会自动触发更新。

三、关闭传递优化（Delivery Optimization）

传递优化是 Win10 引入的 P2P 分发机制——更新和商店应用会先从局域网其他 Win10 电脑下载，节省微软带宽，但占用你的上行带宽。

3.1 关闭路径

1
2


1. Win+I → 更新和安全 → 传递优化
2. 把 "允许从其他 Windows 设备下载" 改成 "关闭"

或者组策略：

1
2


gpedit.msc → 计算机配置 → 管理模板 → Windows 组件 → 传递优化
→ 双击 "下载模式" → 选 "已禁用"

四、关闭存储感知（Storage Sense）

存储感知会自动清理下载文件夹、回收站、临时文件。对开发机来说很危险——下载目录可能有 SDK 安装包，临时文件可能有 log。

4.1 关闭路径

1
2


1. Win+I → 系统 → 存储
2. 关闭 "存储感知"

或者：

1
2


1. Win+R → settings:storagepolicies
2. 把 "StoragePolicy" 里的 "01" 改成 "00"

Win11 22H2 之后改名为"存储感知"+“清理建议”，两个都关最稳。

五、装机软件清单（2014 + 2024 通用版）

5.1 2014 年装机清单

名称	用途	备注
7-Zip	解压	永久免费、开源
Chrome	浏览器	需要科学上网才能用 Google 同步
Git	版本控制	`git-scm.com`
JDK 8	Java	`oracle.com/technologies/downloads/#java8`，需配环境变量
Maven	Java 构建	配环境变量 `MAVEN_HOME`
IntelliJ IDEA	IDE	社区版免费
VS Code	轻量编辑器	微软官方
Navicat	数据库 GUI	收费
Notepad++	轻量文本	开源
Postman	API 测试	本地路径 `C:\Users\<USER>\AppData\Local\Postman`
WeChat / 微信	即时通讯	办公
Windows Terminal	终端	Win11 自带，Win10 需手动装
Go	Go 语言开发	`go.dev/dl/`，配环境变量
MQTTX	MQTT 客户端	调试物联网
Clash for Windows	代理客户端	需配合订阅
HEU_KMS Activator	Office / Windows 激活	仅限学习

5.2 2024 年推荐补全

名称	用途	备注
PowerToys	微软官方工具集	FancyZones 窗口分屏 / PowerToys Run 启动器
Snipaste	截图 + 贴图	程序员标配
Motrix	多线程下载	替代迅雷
WizTree	磁盘空间分析	NTFS MFT 直读
Obsidian	本地 Markdown	知识管理
Postman	API 测试	现在的国产替代是 Apifox（2020+）
windirstat	磁盘分析	WizTree 的开源版

5.3 一键安装：winget

Win10 1809+ / Win11 自带 winget（Windows Package Manager）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 装常用工具
winget install --id Microsoft.PowerToys -e
winget install --id 7zip.7zip -e
winget install --id Google.Chrome -e
winget install --id Git.Git -e
winget install --id Microsoft.VisualStudioCode -e
winget install --id Notepad++.Notepad++ -e
winget install --id Postman.Postman -e
winget install --id Balena.Etcher -e

# 升级全部
winget upgrade --all

# 导出/导入（机器间同步）
winget export -o packages.json
winget import -i packages.json

winget 让"装机软件"从手动下载 .msi 变成一行命令。Win11 默认带，Win10 1809+ 也内置；老系统手动装一下 App Installer 即可。

六、系统调优 5 件套

6.1 关闭 Cortana / 搜索建议

1
2
3
4
5
6


1. Win+I → 隐私 → 语音激活 → 关闭
2. Win+I → Cortana → 权限 → 全部关
3. Win+R → regedit
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search
 改 "BingSearchEnabled" = 0
 改 "CortanaConsent" = 0

6.2 关闭开机启动项

1
2
3


1. Ctrl+Shift+Esc → 任务管理器
2. "启动" 选项卡
3. 禁用不需要开机启动的：Skype、企业微信、OneDrive、各种云盘

或者用 PowerShell：

1
2
3


Get-CimInstance Win32_StartupCommand |
 Select-Object Name, Command, Location |
 Format-Table -AutoSize

6.3 临时目录迁移到 D 盘

C 盘空间吃紧的最常见原因之一：

1
2
3


1. Win+I → 系统 → 存储 → 高级存储设置
2. "保存新内容的保存位置"
3. 把 "新应用"、"新文档"、"新音乐"、"新视频"、"新下载" 全部改成 D 盘

或者用环境变量：

1
2


[Environment]::SetEnvironmentVariable("TEMP", "D:\Temp", "User")
[Environment]::SetEnvironmentVariable("TMP", "D:\Temp", "User")

6.4 关闭系统通知

1
2
3


1. Win+I → 系统 → 通知
2. 关闭 "获取来自应用和其他发送者的通知"
3. 或者单独关闭某些应用的通知（Xbox、商店等）

6.5 电源计划切换到"卓越性能"

1
2
3


1. Win+R → powercfg.cpl
2. 选 "高性能" 或 "卓越性能"（Win10 1809+ 解锁）
3. 如果没看到 "卓越性能"：powercfg -duplicatescheme e9a42b02-d5df-448d-aa00-03f14749eb61

开发机推荐用"高性能"或"卓越性能"——“平衡"模式下 CPU 会被动态降频，编译速度慢 10-20%。

七、磁盘清理

7.1 系统自带清理

1
2
3
4


1. Win+R → cleanmgr
2. 选 C 盘
3. 点击 "清理系统文件"（**会多出 Windows 更新清理等隐藏项**）
4. 全选 → 确定

7.2 删 Windows.old

升级 Win10 大版本后，C:\Windows.old 会保留旧系统所有文件（可能几十 G）。

1
2
3


1. Win+R → cleanmgr
2. 选 C 盘 → "清理系统文件"
3. 勾选 "以前的 Windows 安装文件"

7.3 关休眠文件 Hiberfil.sys

Hiberfil.sys ≈ 物理内存大小（16G 内存 = 16G 占用）。不用休眠可以关：

1

powercfg -h off

关掉后立刻回收几个 G。笔记本 / 服务器慎用——开盖唤醒、断电恢复都依赖休眠。

八、安全与隐私

8.1 关闭遥测

1
2
3


1. Win+R → gpedit.msc（仅 Pro/Enterprise）
2. 计算机配置 → 管理模板 → Windows 组件 → 数据收集和预览版本
3. "允许遥测" 改为 "已禁用"

8.2 关闭广告 ID

1
2


1. Win+I → 隐私 → 诊断和反馈
2. 关闭 "允许应用使用您的广告 ID"

8.3 关闭 Defender（不推荐）

Win10 1809+ 的 Defender 性能已经不错，不建议完全关闭。如果想减少误报：

1
2
3


1. Win+I → 更新和安全 → Windows 安全中心
2. 病毒防护 → 管理设置
3. 关闭 "实时保护"（仅当有第三方杀软时）

九、装机后必装的 3 个工具

PowerToys（微软官方工具集）— FancyZones 窗口分屏 / PowerToys Run 启动器 / Keyboard Manager 改键位
Snipaste — 截图 + 贴图，程序员标配
Everything（或 WizTree） — 全盘文件秒搜 / 磁盘空间分析

十、常见 5 个坑

关 Windows Update 后还会被自动开——服务恢复策略必须改"无操作” + 任务计划程序禁用 + 删 UpdateAssistant
传递优化占上行带宽——局域网里别人下载 Win10 更新，会从你这里拉——P2P 模式
C 盘空间被 Windows.old 吃光——大版本升级后 30 天自动清理，但占用几十 G——手动 cleanmgr 立刻清
winget 安装失败——Win10 老系统 App Installer 太旧，手动下载最新 App Installer 即可
Cortana 关不掉——Win10 2004 之后Cortana 已经独立成应用，直接"开始菜单 → 找到 Cortana → 右键卸载"即可

十一、总结

关自动更新 = 停服务 + 改恢复 + 任务计划程序禁用 + 注册表，四管齐下
关传递优化 + 存储感知——保护带宽、保护下载目录
winget = 2014 年手动下 .msi 的救星，Win10 1809+ / Win11 系统自带
临时目录 + 下载目录 + 文档目录——全迁到 D 盘，C 盘留 50G 余量给系统和休眠
电源计划选"卓越性能"——开发机编译速度提升 10-20%
3 大件：PowerToys + Snipaste + Everything/WizTree