Caddy Cloudflare

集成Cloudflare DNS-01 ACME验证的完整Caddy Docker镜像

部署轻松无忧的Caddy服务器，内置支持Cloudflare DNS-01 ACME挑战。简化SSL证书管理，确保服务器无需手动更新即可保持安全，是一种轻松可靠的解决方案。

目录

• 特性
• 使用方法
  • 使用预构建Docker镜像
  • 构建自己的Docker镜像
  • 示例Caddyfile
• 配置
  • ACME DNS挑战配置
  • 创建Cloudflare API令牌
• 平台支持
  • 树莓派支持
• 标签
• 贡献
• 许可

特性

• 自动构建：自动检查Caddy新版本并构建Docker镜像。
• 持续集成：利用GitHub Actions实现无缝CI/CD。
• Cloudflare DNS集成：集成Cloudflare DNS以实现自动SSL证书管理。
• 多平台支持：为多种架构构建镜像，包括amd64、arm64、arm/v7（树莓派）、ppc64le和s390x，确保在广泛设备和系统上的兼容性。
• 基于Alpine的镜像：提供轻量级Alpine基础镜像，体积更小，部署更快。
• 手动触发：允许手动触发构建过程。
• 开源：在MIT许可下欢迎贡献。

使用方法

使用预构建Docker镜像

要使用预构建的Docker镜像，从GitHub容器注册表或Docker Hub拉取：

docker pull ghcr.io/caddybuilds/caddy-cloudflare:latest
docker pull caddybuilds/caddy-cloudflare:latest
# alpine版本
docker pull ghcr.io/caddybuilds/caddy-cloudflare:alpine
docker pull caddybuilds/caddy-cloudflare:alpine

可在Docker设置中使用该镜像。以下是示例docker-compose.yml文件：

version: "3.7"

services:
  caddy:
    image: caddybuilds/caddy-cloudflare:latest
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
    ports:
      - "80:80"
      - "443:443"
      - "443:443/udp"
    volumes:
      - $PWD/Caddyfile:/etc/caddy/Caddyfile
      - $PWD/site:/srv
      - caddy_data:/data
      - caddy_config:/config
    environment:
      - CLOUDFLARE_API_TOKEN=your_cloudflare_api_token

volumes:
  caddy_data:
    external: true
  caddy_config:

将数据卷定义为外部卷可确保docker-compose down不会删除该卷。可能需要使用docker volume create caddy_data手动创建它。

将your_cloudflare_api_token替换为实际的Cloudflare API令牌。

示例Caddyfile

以下是一个示例Caddyfile配置，帮助您快速入门。此配置设置ACME DNS挑战提供程序以使用Cloudflare，并提供简单的静态网站服务。

全局配置（所有站点使用DNS挑战）

在此配置中，ACME DNS挑战提供程序设置为全局，因此适用于Caddy提供的所有站点。

# 要使用您自己的域名（带自动HTTPS），首先确保您的域名A/AAAA DNS记录正确指向
# 此机器的公网IP，然后将下面的"example.com"替换为您的域名。

{
  # 设置ACME DNS挑战提供程序为Cloudflare，适用于所有站点
  acme_dns cloudflare {env.CLOUDFLARE_API_TOKEN}
}

example.com {

    # 设置此路径为您的网站目录。
    root * /usr/share/caddy

    # 启用静态文件服务器。
    file_server

    # 另一个常见任务是设置反向代理：
    # reverse_proxy localhost:8080

    # 或通过php-fpm提供PHP网站：
    # php_fastcgi localhost:9000

    encode gzip

    tls {
      # 无需在此处指定dns，已全局设置
    }
}

another-example.com {
    root * /usr/share/caddy
    file_server
    encode gzip

    tls {
        # 无需在此处指定dns，已全局设置
    }
}

按站点配置

example.com {
  
    # 设置此路径为您的网站目录。
    root * /usr/share/caddy

    # 启用静态文件服务器。
    file_server

    # 另一个常见任务是设置反向代理：
    # reverse_proxy localhost:8080

    # 或通过php-fpm提供PHP网站：
    # php_fastcgi localhost:9000

    encode gzip

    tls {
        dns cloudflare {env.CLOUDFLARE_API_TOKEN}
    }
}

another-example.com {
    root * /usr/share/caddy
    file_server
    encode gzip

    tls {
        dns cloudflare {env.CLOUDFLARE_API_TOKEN}
    }
}

配置

创建Cloudflare API令牌

要使用Cloudflare DNS挑战提供程序，需要在Cloudflare账户中创建API令牌。按照以下步骤创建具有必要权限的令牌：

1. 登录Cloudflare：

   • 访问Cloudflare控制台dash.cloudflare.com，使用您的账户凭据登录。

2. 导航到API令牌：

   • 点击控制台右上角的个人资料图标。
   • 从下拉菜单中选择"我的个人资料"。
   • 在左侧边栏中，点击"API令牌"。

3. 创建自定义令牌：

   • 点击"创建令牌"按钮。
   • 在"自定义令牌"部分下，点击"开始使用"。

4. 配置令牌权限：

   • 为令牌命名，例如"Caddy DNS-01挑战"。
   • 设置权限如下：
     • 区域 - 区域 - 读取：允许令牌读取DNS区域
     • 区域 - DNS - 编辑：允许令牌编辑DNS记录，这是DNS-01挑战所必需的。

5. 指定账户和区域资源：

   • 在"区域资源"下，设置：
     • 包含 - 所有区域：如果希望令牌适用于所有区域。
     • 包含 - 特定区域：选择令牌需要访问的特定区域。

6. 创建并存储令牌：

   • 点击"继续到摘要"按钮。
   • 查看令牌设置，点击"创建令牌"。
   • 复制生成的令牌并安全存储。您需要此令牌来设置Caddy配置中的环境变量。

7. 设置环境变量：

   • 在部署环境中，将环境变量CLOUDFLARE_API_TOKEN设置为刚创建的令牌值。

例如，在Docker环境中，可在docker-compose.yml文件中设置此环境变量：

version: "3.7"

services:
  caddy:
    image: caddybuilds/caddy-cloudflare:latest
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
    ports:
      - "80:80"
      - "443:443"
      - "443:443/udp"
    volumes:
      - $PWD/Caddyfile:/etc/caddy/Caddyfile
      - $PWD/site:/srv
      - caddy_data:/data
      - caddy_config:/config
    environment:
      - CLOUDFLARE_API_TOKEN=your_cloudflare_api_token

volumes:
  caddy_data:
    external: true
  caddy_config:

将数据卷定义为外部卷可确保docker-compose down不会删除该卷。可能需要使用docker volume create caddy_data手动创建它。

将your_cloudflare_api_token替换为实际的Cloudflare API令牌。

ACME DNS挑战配置

要为所有ACME事务配置ACME DNS挑战提供程序，将以下内容添加到您的Caddyfile：

{
   acme_dns cloudflare {env.CLOUDFLARE_API_TOKEN}
}

此配置设置提供程序使用Cloudflare DNS模块，并使用环境变量提供的API令牌。它确保Caddy服务器可以使用DNS-01挑战自动颁发和续期SSL证书。

此设置与在tls指令的ACME颁发者配置中指定提供程序相同。

示例Caddyfile

标签

GitHub容器注册表和Docker Hub上的caddy-cloudflare镜像提供以下标签：

• latest：

  • 始终指向带有Cloudflare DNS模块的最新稳定版Caddy。
  • 自动更新，确保您获得最新功能和改进。

• <version>：

  • 特定版本标签，用于精确的版本控制和部署一致性。
  • 示例包括：

    • 2.7.6：Caddy 2.7.6版本的完整版本标签，确保使用此确切版本。

      （例如：docker pull ghcr.io/caddybuilds/caddy-cloudflare:2.8.0）

    • 2.7：2.7系列中最新补丁版本的次要版本标签，允许次要更新而不破坏兼容性。

    • 2：2.x系列中最新版本的主要版本标签，在保持兼容性的同时提供主要版本内的更新。

• alpine：始终指向基于Alpine的镜像的最新稳定版本。

  • <version>-alpine：基于Alpine的镜像的特定版本标签（例如2.7.6-alpine）。

平台支持

caddybuilds/caddy-cloudflare镜像支持多种平台，确保在广泛设备和系统上的兼容性。支持的平台包括：

• linux/amd64：标准x86_64架构，常用于桌面和服务器环境。
• linux/arm64：ARM 64位架构，用于许多现代服务器和高端ARM设备。
• linux/arm/v7：ARM 32位架构，广泛用于树莓派等设备。
• linux/ppc64le：64位PowerPC小端架构。
• linux/s390x：64位IBM System z架构。

Alpine支持

基于Alpine的镜像提供轻量级替代方案，基于流行的Alpine Linux项目。Alpine Linux比大多数发行版基础镜像小得多（约5MB），通常会产生更精简的镜像。

基于Alpine的镜像优势

• 更小体积：镜像大小显著减小，有利于更快下载和减少存储使用。
• 最小基础：Alpine Linux使用musl libc而非glibc，使其轻量级。但这可能导致需要glibc的软件出现兼容性问题。
• 可定制性：为保持镜像最小，默认不包含额外工具（如git或bash）。您可以在Dockerfile中添加必要的包来自定义镜像。

要使用基于Alpine的镜像，从GitHub容器注册表或Docker Hub拉取：

docker pull ghcr.io/caddybuilds/caddy-cloudflare:alpine
docker pull caddybuilds/caddy-cloudflare:alpine

树莓派支持

此Docker镜像针对树莓派进行了优化，允许在这些流行的单板计算机上部署带有Cloudflare DNS集成的Caddy。无论使用树莓派3还是最新的树莓派4，此镜像都提供无缝运行所需的支持。

要在树莓派上使用镜像，请确保运行兼容的操作系统（如Raspberry Pi OS）并安装了Docker。然后可以像在其他系统上一样拉取并运行镜像：

docker pull ghcr.io/caddybuilds/caddy-cloudflare:latest

构建自己的Docker镜像

如果您希望构建自己的Docker镜像，请按照以下步骤操作：

前提条件

• GitHub账户
• DockerHub账户（如果还希望推送到DockerHub）
• 配置的GitHub Secrets：
  • GITHUB_TOKEN（在GitHub Actions中自动可用）
  • DOCKERHUB_USERNAME（可选，如果要推送到DockerHub）
  • DOCKERHUB_TOKEN（可选，如果要推送到DockerHub）

设置说明

1. 分叉此仓库 到您的GitHub账户。

2. 克隆分叉的仓库到本地机器：

   git clone [***]
   cd caddy-cloudflare
   

3. 设置GitHub Secrets：

   • 转到GitHub上的仓库。
   • 导航到"设置" > "Secrets and variables" > "Actions"。
   • 添加以下secrets：
     • GITHUB_TOKEN：在GitHub Actions中自动可用。
     • DOCKERHUB_USERNAME：您的DockerHub用户名（可选）。
     • DOCKERHUB_TOKEN：您的DockerHub访问令牌（可选）。

4. 自定义工作流（如果需要）：

   • 工作流文件.github/workflows/check-caddy-release.yml配置为检查Caddy新版本并构建Docker镜像。您可以根据需要自定义计划或工作流的任何其他部分。

5. 提交并推送任何更改（如果进行了自定义）：

   git add .
   git commit -m "自定义工作流"
   git push origin main
   

6. 手动触发工作流（可选）：

   • 转到GitHub仓库的"Actions"选项卡。
   • 选择"Build and Push Docker Image"工作流。
   • 点击"Run workflow"按钮手动触发构建过程。

7. 监控工作流：

   • 您可以在GitHub仓库的"Actions"选项卡中监控工作流的进度和日志。

8. Docker镜像：

   • 工作流成功完成后，Docker镜像将在您仓库下的GitHub容器注册表中可用。
   • 您可以使用以下命令拉取镜像：

     docker pull ghcr.io/YOUR_GITHUB_USERNAME/caddy-cloudflare:latest
     

使用方法

您可以在项目中使用构建的Docker镜像。以下是如何在docker-compose.yml文件中使用它的示例：

version: "3.7"

services:
  caddy:
    image: ghcr.io/YOUR_GITHUB_USERNAME/caddy-cloudflare:latest
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
    ports:
      - "80:80"
      - "443:443"
      - "443:443/udp"
    volumes:
      - $PWD/Caddyfile:/etc/caddy/Caddyfile
      - $PWD/site:/srv
      - caddy_data:/data
      - caddy_config:/config
    environment:
      - CLOUDFLARE_API_TOKEN=your_cloudflare_api_token

volumes:
  caddy_data:
    external: true
  caddy_config:

将数据卷定义为外部卷可确保docker-compose down不会删除该卷。您可能需要使用docker volume create caddy_data手动创建它。

将YOUR_GITHUB_USERNAME替换为您的GitHub用户名，your_cloudflare_api_token替换为您的实际Cloudflare API令牌。

贡献

如果您有任何改进或错误修复，欢迎打开问题或提交拉取请求。

许可

本项目采用MIT许可。详情参见LICENSE文件。