jauderho/nebula

jauderho/nebula 镜像文档

镜像概述和主要用途

jauderho/nebula 是基于 Nebula 项目构建的 Docker 镜像。Nebula 是一款可扩展的覆盖网络（overlay networking）工具，专注于性能、简单性和安全性，旨在帮助用户构建跨物理网络拓扑的加密虚拟网络，实现分布式节点间的安全通信。

该镜像提供多平台支持，上游版本发布后一小时内自动构建，并每周至少重建一次，确保镜像时效性和安全性。

核心功能和特性

核心功能

• 可扩展覆盖网络：支持动态节点扩展，适应从小型实验室到大型企业的不同规模需求。
• 端到端加密通信：基于 TLS 1.3 和 AES-GCM 实现节点间数据加密，保障传输安全。
• 自动节点发现：通过 *** 节点机制实现去中心化节点发现，减少手动配置。
• 低性能开销：优化网络转发逻辑，降低延迟和带宽占用，适合对性能敏感的场景。

关键特性

• 简化配置：基于 YAML 配置文件，语法简洁，易于理解和维护。
• 跨网络拓扑支持：兼容 NAT 穿透、防火墙环境，支持公网/私网混合部署。
• 多平台支持：提供 amd64、arm64 等多架构镜像，适配服务器、边缘设备等不同硬件。
• 开源可靠：基于 Slack 开源项目 Nebula，社区活跃，持续迭代优化。

使用场景和适用范围

典型使用场景

1. 企业跨区域网络互联：连接分布在不同物理位置（如总部与分支机构、多数据中心）的节点，构建统一虚拟网络。
2. 远程办公安全接入：为远程员工提供加密通道，安全接入企业内部网络，替代传统 ***。
3. 开发/测试环境隔离：在共享基础设施中构建独立虚拟网络，隔离不同项目或环境。
4. 边缘设备网络：连接物联网（IoT）或边缘计算设备，实现低延迟、安全的数据传输。

适用范围

• 中小企业到大型企业的网络架构部署
• 混合云/多云环境下的跨平台网络整合
• 对网络安全性、性能有较高要求的场景
• 需要简化网络配置和维护的团队

使用方法和配置说明

前提条件

• 已安装 Docker Engine（20.10+）或 Docker Compose（2.0+）
• 已生成 Nebula 所需的 PKI 证书（CA 证书、节点证书及私钥），可通过 nebula-cert 工具生成
• 准备节点配置文件（config.yml）

Docker 快速启动

基础运行命令

bash
docker run -d \
  --name nebula \
  --restart unless-stopped \
  -v /path/to/nebula/config:/etc/nebula \  # 挂载本地配置目录（含config.yml及证书）
  -p 4242:4242/udp \                       # 暴露Nebula默认UDP端口（根据配置调整）
  jauderho/nebula:latest \
  --config /etc/nebula/config.yml          # 指定配置文件路径

关键参数说明

• -v /path/to/nebula/config:/etc/nebula：挂载宿主机目录到容器内，需包含 config.yml、CA 证书（ca.crt）、节点证书（node.crt）和私钥（node.key）
• -p 4242:4242/udp：Nebula 默认监听 UDP 4242 端口，需根据 config.yml 中的 listen 配置调整映射端口
• --config /etc/nebula/config.yml：指定容器内配置文件路径，与挂载路径对应

Docker Compose 部署

创建 docker-compose.yml 文件：

yaml
version: '3.8'

services:
  nebula:
    image: jauderho/nebula:latest
    container_name: nebula
    restart: unless-stopped
    volumes:
      - ./nebula-config:/etc/nebula  # 宿主机配置目录（需提前创建并放入配置文件和证书）
    ports:
      - "4242:4242/udp"              # 映射Nebula监听端口
    command: --config /etc/nebula/config.yml  # 指定配置文件路径
    networks:
      - nebula-net  # 可选：自定义网络（如需与其他容器通信）

networks:
  nebula-net:
    driver: bridge

启动服务：

bash
docker-compose up -d

配置参数详解

Nebula 的核心配置通过 config.yml 文件定义，以下为关键配置项说明：

基础结构示例

yaml
pki:
  ca_cert: /etc/nebula/ca.crt      # CA证书路径
  cert: /etc/nebula/node.crt       # 节点证书路径
  key: /etc/nebula/node.key        # 节点私钥路径

listen:
  host: 0.0.0.0                    # 监听地址（容器内建议0.0.0.0）
  port: 4242                       # 监听端口（需与Docker端口映射对应）

lighthouse:
  am_lighthouse: false             # 是否作为Lighthouse节点（中心节点）
  peers:                           # Lighthouse节点列表（非Lighthouse节点必填）
    - ip: 192.168.1.100            # Lighthouse节点IP
      port: 4242                   # Lighthouse节点端口

static_hosts:                      # 静态节点（可选，用于无法自动发现的节点）
  "10.1.2.3": ["192.168.1.200:4242"]  # 目标节点Nebula IP: [物理IP:端口]

tun:
  dev: nebula0                     # TUN设备名称（容器内无需修改）
  ip: 10.1.0.2/24                  # 节点在Nebula网络中的IP及子网掩码

核心配置项说明

环境变量说明

使用注意事项

1. 证书管理：Nebula依赖PKI体系，需提前使用 nebula-cert 工具生成CA证书、节点证书和私钥，确保配置文件中 pki 路径正确指向挂载的证书文件。

2. 网络权限：容器需具备创建TUN设备的权限，部分环境可能需要添加 --cap-add=NET_ADMIN 到Docker命令（如 docker run --cap-add=NET_ADMIN ...）。

3. ***节点部署：***节点需具备公网IP或可被其他节点访问的物理网络地址，建议部署在稳定网络环境（如云服务器）。

4. 跨平台兼容性：镜像支持多架构（amd64、arm64等），可通过 docker pull --platform=linux/arm64 jauderho/nebula:latest 指定架构拉取。

5. 日志查看：通过 docker logs nebula 查看运行日志，结合 NEBULA_LOG_LEVEL=debug 可获取详细调试信息。

镜像更新与维护

• 镜像每周自动重建，确保依赖安全更新，建议定期拉取最新镜像：docker pull jauderho/nebula:latest
• 上游Nebula版本更新后，镜像将在1小时内自动构建，可通过Docker Hub标签（如 :v1.8.0）指定特定版本。