本站支持搜索的镜像仓库：Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com

jauderho/nebula

nebula是一款专注于性能、简洁性和安全性的可扩展覆盖网络工具

0 次下载activejauderho镜像

🚀轩辕镜像专业版更稳定💎一键安装 Docker 配置镜像源

中文简介版本下载

🚀轩辕镜像专业版更稳定💎一键安装 Docker 配置镜像源

jauderho/nebula 镜像文档

镜像概述和主要用途

jauderho/nebula 是基于 Nebula 项目构建的 Docker 镜像。Nebula 是一款可扩展的覆盖网络（overlay networking）工具，专注于性能、简单性和安全性，旨在帮助用户构建跨物理网络拓扑的加密虚拟网络，实现分布式节点间的安全通信。

该镜像提供多平台支持，上游版本发布后一小时内自动构建，并每周至少重建一次，确保镜像时效性和安全性。

核心功能和特性

核心功能

可扩展覆盖网络：支持动态节点扩展，适应从小型实验室到大型企业的不同规模需求。
端到端加密通信：基于 TLS 1.3 和 AES-GCM 实现节点间数据加密，保障传输安全。
自动节点发现：通过 *** 节点机制实现去中心化节点发现，减少手动配置。
低性能开销：优化网络转发逻辑，降低延迟和带宽占用，适合对性能敏感的场景。

关键特性

简化配置：基于 YAML 配置文件，语法简洁，易于理解和维护。
跨网络拓扑支持：兼容 NAT 穿透、防火墙环境，支持公网/私网混合部署。
多平台支持：提供 amd64、arm64 等多架构镜像，适配服务器、边缘设备等不同硬件。
开源可靠：基于 Slack 开源项目 Nebula，社区活跃，持续迭代优化。

使用场景和适用范围

典型使用场景

企业跨区域网络互联：连接分布在不同物理位置（如总部与分支机构、多数据中心）的节点，构建统一虚拟网络。
远程办公安全接入：为远程员工提供加密通道，安全接入企业内部网络，替代传统 ***。
开发/测试环境隔离：在共享基础设施中构建独立虚拟网络，隔离不同项目或环境。
边缘设备网络：连接物联网（IoT）或边缘计算设备，实现低延迟、安全的数据传输。

适用范围

中小企业到大型企业的网络架构部署
混合云/多云环境下的跨平台网络整合
对网络安全性、性能有较高要求的场景
需要简化网络配置和维护的团队

使用方法和配置说明

前提条件

已安装 Docker Engine（20.10+）或 Docker Compose（2.0+）
已生成 Nebula 所需的 PKI 证书（CA 证书、节点证书及私钥），可通过 nebula-cert 工具生成
准备节点配置文件（config.yml）

Docker 快速启动

基础运行命令

docker run -d \
  --name nebula \
  --restart unless-stopped \
  -v /path/to/nebula/config:/etc/nebula \  # 挂载本地配置目录（含config.yml及证书）
  -p 4242:4242/udp \                       # 暴露Nebula默认UDP端口（根据配置调整）
  jauderho/nebula:latest \
  --config /etc/nebula/config.yml          # 指定配置文件路径

关键参数说明

-v /path/to/nebula/config:/etc/nebula：挂载宿主机目录到容器内，需包含 config.yml、CA 证书（ca.crt）、节点证书（node.crt）和私钥（node.key）
-p 4242:4242/udp：Nebula 默认监听 UDP 4242 端口，需根据 config.yml 中的 listen 配置调整映射端口
--config /etc/nebula/config.yml：指定容器内配置文件路径，与挂载路径对应

Docker Compose 部署

创建 docker-compose.yml 文件：

version: '3.8'

services:
  nebula:
    image: jauderho/nebula:latest
    container_name: nebula
    restart: unless-stopped
    volumes:
      - ./nebula-config:/etc/nebula  # 宿主机配置目录（需提前创建并放入配置文件和证书）
    ports:
      - "4242:4242/udp"              # 映射Nebula监听端口
    command: --config /etc/nebula/config.yml  # 指定配置文件路径
    networks:
      - nebula-net  # 可选：自定义网络（如需与其他容器通信）

networks:
  nebula-net:
    driver: bridge

启动服务：

docker-compose up -d

配置参数详解

Nebula 的核心配置通过 config.yml 文件定义，以下为关键配置项说明：

基础结构示例

pki:
  ca_cert: /etc/nebula/ca.crt      # CA证书路径
  cert: /etc/nebula/node.crt       # 节点证书路径
  key: /etc/nebula/node.key        # 节点私钥路径

listen:
  host: 0.0.0.0                    # 监听地址（容器内建议0.0.0.0）
  port: 4242                       # 监听端口（需与Docker端口映射对应）

***:
  am_***: false             # 是否作为***节点（中心节点）
  peers:                           # ***节点列表（非***节点必填）
    - ip: 192.168.1.100            # ***节点IP
      port: 4242                   # ***节点端口

static_hosts:                      # 静态节点（可选，用于无法自动发现的节点）
  "10.1.2.3": ["192.168.1.200:4242"]  # 目标节点Nebula IP: [物理IP:端口]

tun:
  dev: nebula0                     # TUN设备名称（容器内无需修改）
  ip: 10.1.0.2/24                  # 节点在Nebula网络中的IP及子网掩码

核心配置项说明

配置项	说明
`pki`	PKI证书配置，包含CA证书、节点证书和私钥路径，确保文件挂载到容器内对应路径
`listen`	Nebula监听配置，`host`建议设为`0.0.0.0`（容器内），`port`与Docker端口映射一致
`***`	节点配置：`am_: true`表示本节点为中心节点，负责节点发现；非中心节点需配置`peers`指向*节点
`static_hosts`	静态节点列表，用于无法通过***自动发现的节点（如跨NAT环境）
`tun.ip`	节点在Nebula虚拟网络中的IP地址，需确保子网内唯一

环境变量说明

环境变量名	默认值	说明
`NEBULA_CONFIG`	`/etc/nebula/config.yml`	配置文件路径，可通过环境变量覆盖（如 `NEBULA_CONFIG=/custom/config.yml`）
`NEBULA_LOG_LEVEL`	`info`	日志级别，可选值：`debug`、`info`、`warn`、`error`
`NEBULA_EXTRA_ARGS`	空	额外命令行参数（如 `--disable-tun` 禁用TUN设备，用于调试）

使用注意事项

证书管理：Nebula依赖PKI体系，需提前使用 nebula-cert 工具生成CA证书、节点证书和私钥，确保配置文件中 pki 路径正确指向挂载的证书文件。
网络权限：容器需具备创建TUN设备的权限，部分环境可能需要添加 --cap-add=NET_ADMIN 到Docker命令（如 docker run --cap-add=NET_ADMIN ...）。
***节点部署：***节点需具备公网IP或可被其他节点访问的物理网络地址，建议部署在稳定网络环境（如云服务器）。
跨平台兼容性：镜像支持多架构（amd64、arm64等），可通过 docker pull --platform=linux/arm64 jauderho/nebula:latest 指定架构拉取。
日志查看：通过 docker logs nebula 查看运行日志，结合 NEBULA_LOG_LEVEL=debug 可获取详细调试信息。