11notes/caddy

CADDY

!size!https://raw.githubusercontent.com/11notes/static/refs/heads/master/img/markdown/transparent5x2px.png!pulls!https://raw.githubusercontent.com/11notes/static/refs/heads/master/img/markdown/transparent5x2px.png%5B](https://github.com/11notes/docker-caddy/issues)!https://raw.githubusercontent.com/11notes/static/refs/heads/master/img/markdown/transparent5x2px.png!swiss_made

以无root权限和无发行版方式运行Caddy。

概述 📢

Caddy是一款用Go语言编写的Web服务器，以其简洁性和自动HTTPS功能而闻名。它作为强大且灵活的反向代理，支持HTTP、HTTPS、WebSocket、gRPC和FastCGI等多种协议。

用途说明 📖

此镜像能用来做什么？ 该镜像以https://github.com/11notes/RTFM/blob/main/linux/container/image/rootless.md%E5%92%8Chttps://github.com/11notes/RTFM/blob/main/linux/container/image/distroless.md%E6%96%B9%E5%BC%8F%E8%BF%90%E8%A1%8CCaddy%EF%BC%8C%E4%BB%A5%E5%AE%9E%E7%8E%B0%E6%9C%80%E9%AB%98%E5%AE%89%E5%85%A8%E6%80%A7%E3%80%82%E9%BB%98%E8%AE%A4%E4%BD%BF%E7%94%A8JSON%E6%A0%BC%E5%BC%8F%E9%85%8D%E7%BD%AE%E3%80%82%E8%8B%A5%E9%9C%80%E4%BD%BF%E7%94%A8Caddyfile%E6%A0%BC%E5%BC%8F%EF%BC%8C%E5%8F%AF%E5%8F%82%E8%80%83https://github.com/11notes/docker-caddy/blob/master/compose.yml%E4%B8%AD%E7%9A%84%E5%91%BD%E4%BB%A4%EF%BC%8C%E5%B9%B6%E7%A1%AE%E4%BF%9DCaddyfile%E8%87%B3%E5%B0%91%E5%8C%85%E5%90%AB%E4%BB%A5%E4%B8%8B%E5%AD%98%E5%82%A8%E5%92%8C%E5%81%A5%E5%BA%B7%E6%A3%80%E6%9F%A5%E9%85%8D%E7%BD%AE%EF%BC%9A

{
	storage file_system /caddy/var
}
127.0.0.1:3000 {
  respond / 200
}

核心价值 💶

为何选择此镜像而非其他现有镜像？ 原因如下：

• 以https://github.com/11notes/RTFM/blob/main/linux/container/image/rootless.md%E6%96%B9%E5%BC%8F%E8%BF%90%E8%A1%8C%EF%BC%8C%E7%94%A8%E6%88%B7ID/%E7%BB%84ID%E4%B8%BA1000:1000
• 基于https://github.com/11notes/RTFM/blob/main/linux/container/image/distroless.md%E6%9E%84%E5%BB%BA%EF%BC%8C%E6%97%A0shell%E7%8E%AF%E5%A2%83
• 内置健康检查
• 支持只读运行模式
• 发布前后自动扫描CVE漏洞
• 通过安全且固定的CI/CD流程构建
• 验证所有外部 payload
• 镜像体积极小

若您重视安全性、简洁性和极致优化，此镜像可能适合您。

对比 🏁

以下是本镜像与其他常用或官方镜像的对比：

默认配置 📑

json
{
	"apps": {
		"http": {
			"servers": {
        "health": {
					"listen": ["127.0.0.1:3000"],
					"routes": [
						{
							"handle": [{
								"handler": "static_response",
								"status_code": 200
							}]
						}
					]
				},
				"demo": {
					"listen": [":80"],
					"routes": [
						{
							"handle": [{
								"handler": "static_response",
								"body": "11notes/caddy"
							}]
						}
					]
				}
			}
		}
	},
  "storage":{
    "module": "file_system",
    "root": "/caddy/var"
  }
}

卷 📁

• /caddy/etc - 默认JSON配置文件目录
• /caddy/var - 所有动态数据存储目录

Docker Compose 配置 ✂️

yaml
name: "proxy"

x-lockdown: &lockdown
  # 防止对镜像本身的写访问
  read_only: true
  # 防止容器内进程获取更多权限
  security_opt:
    - "no-new-privileges=true"

services:
  caddy:
    image: "11notes/caddy:2.11.3"
    # 使用Caddyfile而非json
    # command: ["run", "--config", "/caddy/etc/Caddyfile"]
    <<: *lockdown
    environment:
      TZ: "Europe/Zurich"
    ports:
      - "80:80/tcp"
      - "443:443/tcp"
    volumes:
      - "caddy.etc:/caddy/etc"
      - "caddy.var:/caddy/var"
      # 可选卷（可用tmpfs替代）用于存储配置备份
      - "caddy.backup:/caddy/backup"
    networks:
      frontend:
    sysctls:
      # 允许无root容器访问80及以上端口
      net.ipv4.ip_unprivileged_port_start: 80
    restart: "always"

volumes:
  caddy.etc:
  caddy.var:
  caddy.backup:

networks:
  frontend:

如需修改容器默认UID/GID，请参考https://github.com/11notes/RTFM/blob/main/linux/container/image/11notes/how-to.changeUIDGID.md#change-uidgid-the-correct-way%E3%80%82

默认设置 🗃️

环境变量 📝

主要标签 🏷️

以下是镜像的主要标签，同时也提供每个提交及其sha256短哈希值对应的标签。

• https://hub.docker.com/r/11notes/caddy/tags?name=2.11.3
• https://hub.docker.com/r/11notes/caddy/tags?name=2.11.3-unraid
• https://hub.docker.com/r/11notes/caddy/tags?name=2.11.3-nobody

没有latest标签，如何处理更新？

个人认为:latest标签是不良习惯，不应使用。许多开发者在新版本中引入破坏性变更，这会影响使用:latest的用户。若不想手动更新标签至最新语义化版本，可使用语义化版本的短格式。例如，使用:2或:2.11而非:2.11.3，这些标签会随新版本更新，效果类似:latest但固定在主版本或次版本，理论上不会引入破坏性变更。

若坚持使用最新版本，可使用:rolling标签，但请注意！这会直接获取应用的最新版本，无论是否存在破坏性变更或安全问题，风险自负！

镜像仓库 ☁️

docker pull 11notes/caddy:2.11.3
docker pull ghcr.io/11notes/caddy:2.11.3
docker pull quay.io/11notes/caddy:2.11.3

Unraid版本 🟠

本镜像默认支持Unraid，只需在任何标签后添加**-unraid**，镜像将以99:100而非1000:1000运行。

Nobody版本 👻

本镜像默认支持nobody用户，只需在任何标签后添加**-nobody**，镜像将以65534:65534而非1000:1000运行。

源代码 💾

• https://github.com/11notes/docker-caddy

基础镜像 🏛️

本镜像不基于其他镜像，而是以https://hub.docker.com/_/scratch%E4%B8%BA%E5%9F%BA%E7%A1%80%E5%B1%82%E3%80%82%E5%8C%85%E5%90%AB%E4%BB%A5%E4%B8%8B%E6%97%A0%E5%8F%91%E8%A1%8C%E7%89%88%E5%B1%82%EF%BC%9A

• https://github.com/11notes/docker-distroless/blob/master/arch.dockerfile - 包含用户、时区和根CA证书，无其他内容
• https://github.com/11notes/docker-distroless/blob/master/localhealth.dockerfile - 仅在127.0.0.1上执行HTTP请求的应用

构建工具 🧰

• https://github.com/caddyserver/caddy

通用提示 📌

• 使用Traefik、Nginx、HAproxy等反向代理终止TLS并保护端点
• 使用Let’s Encrypt DNS-01挑战获取服务的有效SSL证书

注意事项 ⚠️

• 不要忘记在配置中添加127.0.0.1:3000监听指令并返回HTTP 200状态码以支持默认健康检查，或创建自定义健康检查！
• 默认JSON配置包含HTTP监听，实际使用中通常应将HTTP重定向至HTTPS。HTTP使用存在例外情况¹。

ElevenNotes™️

本镜像按"现状"提供，使用风险自负。更新镜像版本前请务必备份。查看https://github.com/11notes/docker-caddy/releases%E4%BA%86%E8%A7%A3%E7%A0%B4%E5%9D%8F%E6%80%A7%E5%8F%98%E6%9B%B4%E3%80%82%E4%BD%BF%E7%94%A8%E4%B8%AD%E9%81%87%E5%88%B0%E9%97%AE%E9%A2%98%E8%AF%B7%E6%8F%90%E4%BA%A4https://github.com/11notes/docker-caddy/issues%E3%80%82%E5%A6%82%E6%9C%89%E7%96%91%E9%97%AE%E6%88%96%E5%BB%BA%E8%AE%AE%EF%BC%8C%E8%AF%B7%E5%88%9B%E5%BB%BAhttps://github.com/11notes/docker-caddy/discussions%E8%80%8C%E9%9D%9Eissue%E3%80%82%E6%89%80%E6%9C%89%E5%85%B6%E4%BB%96%E4%BB%93%E5%BA%93%E5%8F%AF%E5%9C%A8https://github.com/11notes?tab=repositories%E6%9F%A5%E7%9C%8B%E3%80%82

创建于 13.05.2026, 09:51:39 (CET)

Footnotes

1. 某些OTA或其他服务仅通过HTTP（未加密）工作，因为其有限内存无法容纳所有根CA。 ↩