热门搜索:
jauderho/nebula
jauderho
nebula是一款专注于性能、简洁性和安全性的可扩展覆盖网络工具
下载次数: 0状态:社区镜像维护者:jauderho仓库类型:镜像最近更新:12 天前
jauderho/nebula 镜像文档
镜像概述和主要用途
jauderho/nebula 是基于 Nebula 项目构建的 Docker 镜像。Nebula 是一款可扩展的覆盖网络(overlay networking)工具,专注于性能、简单性和安全性,旨在帮助用户构建跨物理网络拓扑的加密虚拟网络,实现分布式节点间的安全通信。
该镜像提供多平台支持,上游版本发布后一小时内自动构建,并每周至少重建一次,确保镜像时效性和安全性。
核心功能和特性
核心功能
- 可扩展覆盖网络:支持动态节点扩展,适应从小型实验室到大型企业的不同规模需求。
- 端到端加密通信:基于 TLS 1.3 和 AES-GCM 实现节点间数据加密,保障传输安全。
- 自动节点发现:通过 *** 节点机制实现去中心化节点发现,减少手动配置。
- 低性能开销:优化网络转发逻辑,降低延迟和带宽占用,适合对性能敏感的场景。
关键特性
- 简化配置:基于 YAML 配置文件,语法简洁,易于理解和维护。
- 跨网络拓扑支持:兼容 NAT 穿透、防火墙环境,支持公网/私网混合部署。
- 多平台支持:提供 amd64、arm64 等多架构镜像,适配服务器、边缘设备等不同硬件。
- 开源可靠:基于 Slack 开源项目 Nebula,社区活跃,持续迭代优化。
使用场景和适用范围
典型使用场景
- 企业跨区域网络互联:连接分布在不同物理位置(如总部与分支机构、多数据中心)的节点,构建统一虚拟网络。
- 远程办公安全接入:为远程员工提供加密通道,安全接入企业内部网络,替代传统 ***。
- 开发/测试环境隔离:在共享基础设施中构建独立虚拟网络,隔离不同项目或环境。
- 边缘设备网络:连接物联网(IoT)或边缘计算设备,实现低延迟、安全的数据传输。
适用范围
- 中小企业到大型企业的网络架构部署
- 混合云/多云环境下的跨平台网络整合
- 对网络安全性、性能有较高要求的场景
- 需要简化网络配置和维护的团队
使用方法和配置说明
前提条件
- 已安装 Docker Engine(20.10+)或 Docker Compose(2.0+)
- 已生成 Nebula 所需的 PKI 证书(CA 证书、节点证书及私钥),可通过
nebula-cert工具生成 - 准备节点配置文件(
config.yml)
Docker 快速启动
基础运行命令
bashdocker run -d \ --name nebula \ --restart unless-stopped \ -v /path/to/nebula/config:/etc/nebula \ # 挂载本地配置目录(含config.yml及证书) -p 4242:4242/udp \ # 暴露Nebula默认UDP端口(根据配置调整) jauderho/nebula:latest \ --config /etc/nebula/config.yml # 指定配置文件路径
关键参数说明
-v /path/to/nebula/config:/etc/nebula:挂载宿主机目录到容器内,需包含config.yml、CA 证书(ca.crt)、节点证书(node.crt)和私钥(node.key)-p 4242:4242/udp:Nebula 默认监听 UDP 4242 端口,需根据config.yml中的listen配置调整映射端口--config /etc/nebula/config.yml:指定容器内配置文件路径,与挂载路径对应
Docker Compose 部署
创建 docker-compose.yml 文件:
yamlversion: '3.8' services: nebula: image: jauderho/nebula:latest container_name: nebula restart: unless-stopped volumes: - ./nebula-config:/etc/nebula # 宿主机配置目录(需提前创建并放入配置文件和证书) ports: - "4242:4242/udp" # 映射Nebula监听端口 command: --config /etc/nebula/config.yml # 指定配置文件路径 networks: - nebula-net # 可选:自定义网络(如需与其他容器通信) networks: nebula-net: driver: bridge
启动服务:
bashdocker-compose up -d
配置参数详解
Nebula 的核心配置通过 config.yml 文件定义,以下为关键配置项说明:
基础结构示例
yamlpki: ca_cert: /etc/nebula/ca.crt # CA证书路径 cert: /etc/nebula/node.crt # 节点证书路径 key: /etc/nebula/node.key # 节点私钥路径 listen: host: 0.0.0.0 # 监听地址(容器内建议0.0.0.0) port: 4242 # 监听端口(需与Docker端口映射对应) lighthouse: am_lighthouse: false # 是否作为Lighthouse节点(中心节点) peers: # Lighthouse节点列表(非Lighthouse节点必填) - ip: 192.168.1.100 # Lighthouse节点IP port: 4242 # Lighthouse节点端口 static_hosts: # 静态节点(可选,用于无法自动发现的节点) "10.1.2.3": ["192.168.1.200:4242"] # 目标节点Nebula IP: [物理IP:端口] tun: dev: nebula0 # TUN设备名称(容器内无需修改) ip: 10.1.0.2/24 # 节点在Nebula网络中的IP及子网掩码
核心配置项说明
| 配置项 | 说明 |
|---|---|
pki | PKI证书配置,包含CA证书、节点证书和私钥路径,确保文件挂载到容器内对应路径 |
listen | Nebula监听配置,host建议设为0.0.0.0(容器内),port与Docker端口映射一致 |
lighthouse | 节点配置:am_lighthouse: true表示本节点为中心节点,负责节点发现;非中心节点需配置peers指向节点 |
static_hosts | 静态节点列表,用于无法通过***自动发现的节点(如跨NAT环境) |
tun.ip | 节点在Nebula虚拟网络中的IP地址,需确保子网内唯一 |
环境变量说明
| 环境变量名 | 默认值 | 说明 |
|---|---|---|
NEBULA_CONFIG | /etc/nebula/config.yml | 配置文件路径,可通过环境变量覆盖(如 NEBULA_CONFIG=/custom/config.yml) |
NEBULA_LOG_LEVEL | info | 日志级别,可选值:debug、info、warn、error |
NEBULA_EXTRA_ARGS | 空 | 额外命令行参数(如 --disable-tun 禁用TUN设备,用于调试) |
使用注意事项
-
证书管理:Nebula依赖PKI体系,需提前使用
nebula-cert工具生成CA证书、节点证书和私钥,确保配置文件中pki路径正确指向挂载的证书文件。 -
网络权限:容器需具备创建TUN设备的权限,部分环境可能需要添加
--cap-add=NET_ADMIN到Docker命令(如docker run --cap-add=NET_ADMIN ...)。 -
***节点部署:***节点需具备公网IP或可被其他节点访问的物理网络地址,建议部署在稳定网络环境(如云服务器)。
-
跨平台兼容性:镜像支持多架构(amd64、arm64等),可通过
docker pull --platform=linux/arm64 jauderho/nebula:latest指定架构拉取。 -
日志查看:通过
docker logs nebula查看运行日志,结合NEBULA_LOG_LEVEL=debug可获取详细调试信息。
镜像更新与维护
- 镜像每周自动重建,确保依赖安全更新,建议定期拉取最新镜像:
docker pull jauderho/nebula:latest - 上游Nebula版本更新后,镜像将在1小时内自动构建,可通过Docker Hub标签(如
:v1.8.0)指定特定版本。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull jauderho/nebula:<标签>
更多 nebula 镜像推荐
jauderho/toxiproxy
jauderho
toxiproxy是用于模拟网络条件的框架
50万+ 次下载
7 天前更新
jauderho/docker-bench-security
jauderho
docker-bench-security automates tests based on the CIS Docker Benchmark
10万+ 次下载
7 天前更新
jauderho/gotip
jauderho
Go最新开发版本的每日构建
5万+ 次下载
3 天前更新
jauderho/gobgp
jauderho
GoBGP是一个开源的BGP协议实现。
2 次收藏5万+ 次下载
7 天前更新
jauderho/prettier
jauderho
prettier 是一款有固定格式偏好的代码格式化工具
5万+ 次下载
7 天前更新
jauderho/excalidraw
jauderho
Excalidraw是一款用于绘制手绘风格图表的虚拟白板。
10 次收藏5万+ 次下载
7 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"