linuxserver/socket-proxy
用于安全代理Docker守护进程Unix socket,控制Docker API访问权限的工具镜像。
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
linuxserver/socket-proxy 中文技术文档
镜像概述和主要用途
Socket Proxy 是一个安全增强型代理,允许您对 Docker socket 应用访问规则,限制需要使用它的容器(如 watchtower 或 Traefik)的***面。
!https://raw.githubusercontent.com/linuxserver/docker-templates/master/linuxserver.io/img/docker-logo.png
核心功能和特性
- 对 Docker socket 访问进行安全控制和权限管理
- 支持细粒度的 API 访问控制
- 减少直接暴露 Docker socket 带来的安全风险
- 多平台架构支持
- 支持只读容器文件系统运行
- 可配置的日志级别
支持的架构
该镜像利用 Docker manifest 实现多平台支持。只需拉取 lscr.io/linuxserver/socket-proxy:latest 即可获取适合您架构的正确镜像,也可以通过标签拉取特定架构的镜像。
支持的架构:
| 架构 | 可用 | 标签 |
|---|---|---|
| x86-64 | ✅ | amd64-<version tag> |
| riscv64 | ✅ | riscv64-<version tag> |
| arm64 | ✅ | arm64v8-<version tag> |
| armhf | ❌ |
应用设置
此容器概念基于 https://github.com/Tecnativa/docker-socket-proxy%EF%BC%8C%E5%9B%A0%E6%AD%A4%E4%B8%8D%E9%81%B5%E5%BE%AA%E5%B8%B8%E8%A7%84%E7%9A%84%E5%AE%B9%E5%99%A8%E7%BA%A6%E5%AE%9A%E3%80%82%E5%AE%83**%E4%B8%8D**%E6%94%AF%E6%8C%81 mods 或自定义脚本/服务,也不支持以 root 以外的用户(或无 root 环境中的 docker 用户)运行。它旨在作为 Tecnativa 容器的替代品。
容器应与使用它的服务运行在同一 Docker 网络上。大多数通常连接到挂载的 docker.sock 的容器,如果配置中没有提供选项,可以使用 DOCKER_HOST 环境变量覆盖其端点;通常应指向 tcp://socket-proxy:2375。
- 切勿将此容器的端口暴露到公共网络。应将其视为与 docker socket 或 TCP 端点相同的安全级别。
- 撤销您认为服务不需要的任何 API 部分的访问权限。
- 要查看 Docker 守护程序和客户端支持的 API 版本,请使用
docker version并检查API version。 - 阅读文档 了解您正在使用的 API 版本的所有可用端点说明。
只读操作
此镜像可以在只读容器文件系统下运行。有关详细信息,请 阅读文档。
使用方法
以下是帮助您从此镜像创建容器的方法,您可以使用 docker compose 或 docker cli。
[!NOTE] 除非参数标记为“可选”,否则它是必填项,必须提供值。
docker compose(推荐,点击此处了解更多信息)
yaml--- services: socket-proxy: image: lscr.io/linuxserver/socket-proxy:latest container_name: socket-proxy environment: - ALLOW_START=0 #可选 - ALLOW_STOP=0 #可选 - ALLOW_RESTARTS=0 #可选 - AUTH=0 #可选 - BUILD=0 #可选 - COMMIT=0 #可选 - CONFIGS=0 #可选 - CONTAINERS=0 #可选 - DISABLE_IPV6=0 #可选 - DISTRIBUTION=0 #可选 - EVENTS=1 #可选 - EXEC=0 #可选 - IMAGES=0 #可选 - INFO=0 #可选 - LOG_LEVEL=info #可选 - NETWORKS=0 #可选 - NODES=0 #可选 - PING=1 #可选 - PLUGINS=0 #可选 - POST=0 #可选 - SECRETS=0 #可选 - SERVICES=0 #可选 - SESSION=0 #可选 - SWARM=0 #可选 - SYSTEM=0 #可选 - TASKS=0 #可选 - TZ=Etc/UTC #可选 - VERSION=1 #可选 - VOLUMES=0 #可选 volumes: - /var/run/docker.sock:/var/run/docker.sock:ro restart: unless-stopped read_only: true tmpfs: - /run
docker cli(点击此处了解更多信息)
bashdocker run -d \ --name=socket-proxy \ -e ALLOW_START=0 `#可选` \ -e ALLOW_STOP=0 `#可选` \ -e ALLOW_RESTARTS=0 `#可选` \ -e AUTH=0 `#可选` \ -e BUILD=0 `#可选` \ -e COMMIT=0 `#可选` \ -e CONFIGS=0 `#可选` \ -e CONTAINERS=0 `#可选` \ -e DISTRIBUTION=0 `#可选` \ -e DISABLE_IPV6=0 `#可选` \ -e EVENTS=1 `#可选` \ -e EXEC=0 `#可选` \ -e IMAGES=0 `#可选` \ -e INFO=0 `#可选` \ -e LOG_LEVEL=info `#可选` \ -e NETWORKS=0 `#可选` \ -e NODES=0 `#可选` \ -e PING=1 `#可选` \ -e PLUGINS=0 `#可选` \ -e POST=0 `#可选` \ -e SECRETS=0 `#可选` \ -e SERVICES=0 `#可选` \ -e SESSION=0 `#可选` \ -e SWARM=0 `#可选` \ -e SYSTEM=0 `#可选` \ -e TASKS=0 `#可选` \ -e TZ=Etc/UTC `#可选` \ -e VERSION=1 `#可选` \ -e VOLUMES=0 `#可选` \ -v /var/run/docker.sock:/var/run/docker.sock:ro \ --restart unless-stopped \ --read-only \ --tmpfs /run \ lscr.io/linuxserver/socket-proxy:latest
参数
容器通过运行时传递的参数进行配置(如上所示)。这些参数以冒号分隔,表示 <外部>:<内部>。例如,-p 8080:80 会将容器内的端口 80 暴露出来,可通过主机 IP 和端口 8080 从外部访问。
| 参数 | 功能 |
|---|---|
-e ALLOW_START=0 | /containers/{id}/start - 即使 POST=0,此选项也将生效 |
-e ALLOW_STOP=0 | /containers/{id}/stop - 即使 POST=0,此选项也将生效 |
-e ALLOW_RESTARTS=0 | /containers/{id}/stop、/containers/{id}/restart 和 /containers/{id}/kill - 即使 POST=0,此选项也将生效 |
-e AUTH=0 | /auth |
-e BUILD=0 | /build |
-e COMMIT=0 | /commit |
-e CONFIGS=0 | /configs |
-e CONTAINERS=0 | /containers |
-e DISTRIBUTION=0 | /distribution |
-e DISABLE_IPV6=0 | 设置为 1 可防止绑定到 IPv6 接口,适用于不支持 IPv6 的旧系统。 |
-e EVENTS=1 | /events |
-e EXEC=0 | /exec 和 /containers/{id}/exec |
-e IMAGES=0 | /images |
-e INFO=0 | /info |
-e LOG_LEVEL=info | 可能的值:debug、info、notice、warning、err、crit、alert 和 emerg。默认为 info。 |
-e NETWORKS=0 | /networks |
-e NODES=0 | /nodes |
-e PING=1 | /_ping |
-e PLUGINS=0 | /plugins |
-e POST=0 | 当设置为 0 时,仅允许 GET 和 HEAD 操作,使 API 访问为只读。 |
-e SECRETS=0 | /secrets |
-e SERVICES=0 | /services |
-e SESSION=0 | /session |
-e SWARM=0 | /swarm |
-e SYSTEM=0 | /system |
-e TASKS=0 | /tasks |
-e TZ=Etc/UTC | 设置容器时区 |
-e VERSION=1 | /version |
-e VOLUMES=0 | /volumes |
-v /var/run/docker.sock:ro | 将主机 docker socket 挂载到容器中。 |
--read-only | 使容器文件系统为只读。 |
--tmpfs /run | 将 /run 挂载到 tmpfs(RAM)以使其可写。 |
支持信息
- 容器运行时的 Shell 访问:
bashdocker exec -it socket-proxy /bin/sh
- 实时监控容器日志:
bashdocker logs -f socket-proxy
- 容器版本号:
bashdocker inspect -f '{{ index .Config.Labels "build_version" }}' socket-proxy
- 镜像版本号:
bashdocker inspect -f '{{ index .Config.Labels "build_version" }}' lscr.io/linuxserver/socket-proxy:latest
更新信息
我们的大多数镜像是静态的、版本化的,需要更新镜像并重新创建容器来更新内部的应用程序。除了某些例外情况(在相关的 readme.md 中注明),我们不建议或支持在容器内部更新应用程序。请查阅上面的 应用设置 部分,了解是否建议对该镜像执行此操作。
以下是更新容器的说明:
通过 Docker Compose
-
更新镜像:
- 所有镜像:
bashdocker compose pull- 单个镜像:
bashdocker compose pull socket-proxy -
更新容器:
- 所有容器:
bashdocker compose up -d- 单个容器:
bashdocker compose up -d socket-proxy -
您还可以删除旧的悬空镜像:
bashdocker image prune
通过 Docker Run
- 更新镜像:
bashdocker pull lscr.io/linuxserver/socket-proxy:latest
- 停止运行中的容器:
bashdocker stop socket-proxy
- 删除容器:
bashdocker rm socket-proxy
- 您还可以删除旧的悬空镜像:
bashdocker image prune
镜像更新通知 - Diun(Docker 镜像更新通知器)
[!TIP] 我们推荐 Diun 用于更新通知。不推荐或支持其他自动更新容器的工具。
本地构建
如果您想对这些镜像进行本地修改以用于开发目的或自定义逻辑:
bashgit clone https://github.com/linuxserver/docker-socket-proxy.git cd docker-socket-proxy docker build \ --no-cache \ --pull \ -t lscr.io/linuxserver/socket-proxy:latest .
可以使用 lscr.io/linuxserver/docker-qemu-static 在 x86_64 硬件上构建 ARM 变体,反之亦然
bashdocker run --rm --privileged lscr.io/linuxserver/docker-qemu-static --reset
注册后,您可以使用 -f Dockerfile.aarch64 指定要使用的 dockerfile。
版本历史
- 19.08.25: - 添加 tzdata 以支持本地化日志时间戳。
- 03.06.25: - 基于 Alpine 3.22 重建。添加 RISCV 支持。
- 08.04.25: - 恢复
LOG_LEVEL。 - 06.04.25: - 切换回 haproxy 以更好地处理
docker exec连接劫持。 - 02.01.25: - 支持自定义读取超时值。
- 05.12.24: - 基于 Alpine 3.21 重建。
- 26.08.24: - 更改
ALLOW_START、ALLOW_STOP和ALLOW_RESTARTS,使其即使在POST=0时也能工作。 - 24.05.24: - 基于 Alpine 3.20 重建。
- 15.04.24: - 允许为旧设备禁用 IPv6 支持。
- 08.04.24: - 使用 nginx 替代 haproxy,因为 haproxy 的 websockets 处理不稳定。
- 07.04.24: - 初始发布。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 socket-proxy 镜像标签
docker pull docker.xuanyuan.run/linuxserver/socket-proxy:<标签>
DockerHub 原生拉取命令
docker pull linuxserver/socket-proxy:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"