linuxserver/socket-proxy Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
linuxserver/socket-proxylinuxserver
用于安全代理Docker守护进程Unix socket,控制Docker API访问权限的工具镜像。
13 次收藏下载次数: 0状态:社区镜像维护者:linuxserver仓库类型:镜像最近更新:19 天前
linuxserver/socket-proxy 中文技术文档
镜像概述和主要用途
Socket Proxy 是一个安全增强型代理,允许您对 Docker socket 应用访问规则,限制需要使用它的容器(如 watchtower 或 Traefik)的***面。
!socket-proxy
核心功能和特性
- 对 Docker socket 访问进行安全控制和权限管理
- 支持细粒度的 API 访问控制
- 减少直接暴露 Docker socket 带来的安全风险
- 多平台架构支持
- 支持只读容器文件系统运行
- 可配置的日志级别
支持的架构
该镜像利用 Docker manifest 实现多平台支持。只需拉取 lscr.io/linuxserver/socket-proxy:latest 即可获取适合您架构的正确镜像,也可以通过标签拉取特定架构的镜像。
支持的架构:
| 架构 | 可用 | 标签 |
|---|---|---|
| x86-64 | ✅ | amd64-<version tag> |
| riscv64 | ✅ | riscv64-<version tag> |
| arm64 | ✅ | arm64v8-<version tag> |
| armhf | ❌ |
应用设置
此容器概念基于 [***] mods 或自定义脚本/服务,也不支持以 root 以外的用户(或无 root 环境中的 docker 用户)运行。它旨在作为 Tecnativa 容器的替代品。
容器应与使用它的服务运行在同一 Docker 网络上。大多数通常连接到挂载的 docker.sock 的容器,如果配置中没有提供选项,可以使用 DOCKER_HOST 环境变量覆盖其端点;通常应指向 tcp://socket-proxy:2375。
- 切勿将此容器的端口暴露到公共网络。应将其视为与 docker socket 或 TCP 端点相同的安全级别。
- 撤销您认为服务不需要的任何 API 部分的访问权限。
- 要查看 Docker 守护程序和客户端支持的 API 版本,请使用
docker version并检查API version。 - 阅读文档 了解您正在使用的 API 版本的所有可用端点说明。
只读操作
此镜像可以在只读容器文件系统下运行。有关详细信息,请 阅读文档。
使用方法
以下是帮助您从此镜像创建容器的方法,您可以使用 docker compose 或 docker cli。
[!NOTE] 除非参数标记为“可选”,否则它是必填项,必须提供值。
docker compose(推荐,点击此处了解更多信息)
yaml--- services: socket-proxy: image: lscr.io/linuxserver/socket-proxy:latest container_name: socket-proxy environment: - ALLOW_START=0 #可选 - ALLOW_STOP=0 #可选 - ALLOW_RESTARTS=0 #可选 - AUTH=0 #可选 - BUILD=0 #可选 - COMMIT=0 #可选 - CONFIGS=0 #可选 - CONTAINERS=0 #可选 - DISABLE_IPV6=0 #可选 - DISTRIBUTION=0 #可选 - EVENTS=1 #可选 - EXEC=0 #可选 - IMAGES=0 #可选 - INFO=0 #可选 - LOG_LEVEL=info #可选 - NETWORKS=0 #可选 - NODES=0 #可选 - PING=1 #可选 - PLUGINS=0 #可选 - POST=0 #可选 - SECRETS=0 #可选 - SERVICES=0 #可选 - SESSION=0 #可选 - SWARM=0 #可选 - SYSTEM=0 #可选 - TASKS=0 #可选 - TZ=Etc/UTC #可选 - VERSION=1 #可选 - VOLUMES=0 #可选 volumes: - /var/run/docker.sock:/var/run/docker.sock:ro restart: unless-stopped read_only: true tmpfs: - /run
docker cli(点击此处了解更多信息)
bashdocker run -d \ --name=socket-proxy \ -e ALLOW_START=0 `#可选` \ -e ALLOW_STOP=0 `#可选` \ -e ALLOW_RESTARTS=0 `#可选` \ -e AUTH=0 `#可选` \ -e BUILD=0 `#可选` \ -e COMMIT=0 `#可选` \ -e CONFIGS=0 `#可选` \ -e CONTAINERS=0 `#可选` \ -e DISTRIBUTION=0 `#可选` \ -e DISABLE_IPV6=0 `#可选` \ -e EVENTS=1 `#可选` \ -e EXEC=0 `#可选` \ -e IMAGES=0 `#可选` \ -e INFO=0 `#可选` \ -e LOG_LEVEL=info `#可选` \ -e NETWORKS=0 `#可选` \ -e NODES=0 `#可选` \ -e PING=1 `#可选` \ -e PLUGINS=0 `#可选` \ -e POST=0 `#可选` \ -e SECRETS=0 `#可选` \ -e SERVICES=0 `#可选` \ -e SESSION=0 `#可选` \ -e SWARM=0 `#可选` \ -e SYSTEM=0 `#可选` \ -e TASKS=0 `#可选` \ -e TZ=Etc/UTC `#可选` \ -e VERSION=1 `#可选` \ -e VOLUMES=0 `#可选` \ -v /var/run/docker.sock:/var/run/docker.sock:ro \ --restart unless-stopped \ --read-only \ --tmpfs /run \ lscr.io/linuxserver/socket-proxy:latest
参数
容器通过运行时传递的参数进行配置(如上所示)。这些参数以冒号分隔,表示 <外部>:<内部>。例如,-p 8080:80 会将容器内的端口 80 暴露出来,可通过主机 IP 和端口 8080 从外部访问。
| 参数 | 功能 |
|---|---|
-e ALLOW_START=0 | /containers/{id}/start - 即使 POST=0,此选项也将生效 |
-e ALLOW_STOP=0 | /containers/{id}/stop - 即使 POST=0,此选项也将生效 |
-e ALLOW_RESTARTS=0 | /containers/{id}/stop、/containers/{id}/restart 和 /containers/{id}/kill - 即使 POST=0,此选项也将生效 |
-e AUTH=0 | /auth |
-e BUILD=0 | /build |
-e COMMIT=0 | /commit |
-e CONFIGS=0 | /configs |
-e CONTAINERS=0 | /containers |
-e DISTRIBUTION=0 | /distribution |
-e DISABLE_IPV6=0 | 设置为 1 可防止绑定到 IPv6 接口,适用于不支持 IPv6 的旧系统。 |
-e EVENTS=1 | /events |
-e EXEC=0 | /exec 和 /containers/{id}/exec |
-e IMAGES=0 | /images |
-e INFO=0 | /info |
-e LOG_LEVEL=info | 可能的值:debug、info、notice、warning、err、crit、alert 和 emerg。默认为 info。 |
-e NETWORKS=0 | /networks |
-e NODES=0 | /nodes |
-e PING=1 | /_ping |
-e PLUGINS=0 | /plugins |
-e POST=0 | 当设置为 0 时,仅允许 GET 和 HEAD 操作,使 API 访问为只读。 |
-e SECRETS=0 | /secrets |
-e SERVICES=0 | /services |
-e SESSION=0 | /session |
-e SWARM=0 | /swarm |
-e SYSTEM=0 | /system |
-e TASKS=0 | /tasks |
-e TZ=Etc/UTC | 设置容器时区 |
-e VERSION=1 | /version |
-e VOLUMES=0 | /volumes |
-v /var/run/docker.sock:ro | 将主机 docker socket 挂载到容器中。 |
--read-only | 使容器文件系统为只读。 |
--tmpfs /run | 将 /run 挂载到 tmpfs(RAM)以使其可写。 |
支持信息
- 容器运行时的 Shell 访问:
bashdocker exec -it socket-proxy /bin/sh
- 实时监控容器日志:
bashdocker logs -f socket-proxy
- 容器版本号:
bashdocker inspect -f '{{ index .Config.Labels "build_version" }}' socket-proxy
- 镜像版本号:
bashdocker inspect -f '{{ index .Config.Labels "build_version" }}' lscr.io/linuxserver/socket-proxy:latest
更新信息
我们的大多数镜像是静态的、版本化的,需要更新镜像并重新创建容器来更新内部的应用程序。除了某些例外情况(在相关的 readme.md 中注明),我们不建议或支持在容器内部更新应用程序。请查阅上面的 应用设置 部分,了解是否建议对该镜像执行此操作。
以下是更新容器的说明:
通过 Docker Compose
-
更新镜像:
- 所有镜像:
bashdocker compose pull- 单个镜像:
bashdocker compose pull socket-proxy -
更新容器:
- 所有容器:
bashdocker compose up -d- 单个容器:
bashdocker compose up -d socket-proxy -
您还可以删除旧的悬空镜像:
bashdocker image prune
通过 Docker Run
- 更新镜像:
bashdocker pull lscr.io/linuxserver/socket-proxy:latest
- 停止运行中的容器:
bashdocker stop socket-proxy
- 删除容器:
bashdocker rm socket-proxy
- 您还可以删除旧的悬空镜像:
bashdocker image prune
镜像更新通知 - Diun(Docker 镜像更新通知器)
[!TIP] 我们推荐 Diun 用于更新通知。不推荐或支持其他自动更新容器的工具。
本地构建
如果您想对这些镜像进行本地修改以用于开发目的或自定义逻辑:
bashgit clone [***] cd docker-socket-proxy docker build \ --no-cache \ --pull \ -t lscr.io/linuxserver/socket-proxy:latest .
可以使用 lscr.io/linuxserver/docker-qemu-static 在 x86_64 硬件上构建 ARM 变体,反之亦然
bashdocker run --rm --privileged lscr.io/linuxserver/docker-qemu-static --reset
注册后,您可以使用 -f Dockerfile.aarch64 指定要使用的 dockerfile。
版本历史
- 19.08.25: - 添加 tzdata 以支持本地化日志时间戳。
- 03.06.25: - 基于 Alpine 3.22 重建。添加 RISCV 支持。
- 08.04.25: - 恢复
LOG_LEVEL。 - 06.04.25: - 切换回 haproxy 以更好地处理
docker exec连接劫持。 - 02.01.25: - 支持自定义读取超时值。
- 05.12.24: - 基于 Alpine 3.21 重建。
- 26.08.24: - 更改
ALLOW_START、ALLOW_STOP和ALLOW_RESTARTS,使其即使在POST=0时也能工作。 - 24.05.24: - 基于 Alpine 3.20 重建。
- 15.04.24: - 允许为旧设备禁用 IPv6 支持。
- 08.04.24: - 使用 nginx 替代 haproxy,因为 haproxy 的 websockets 处理不稳定。
- 07.04.24: - 初始发布。
wollomatic/socket-proxy
wollomatic
轻量级、安全优先的Unix socket代理,设计用于代理Docker socket(如给Traefik使用),支持细粒度访问控制,镜像极小且无外部依赖。
7 次收藏50万+ 次下载
13 天前更新
11notes/socket-proxy
11notes
安全访问Docker socket的代理镜像,提供只读权限、非root用户(1000:1000)运行及无发行版(distroless)特性,增强容器环境安全性。
1万+ 次下载
26 天前更新
haproxytech/haproxy-debian
haproxytech
HAProxy社区版Docker Debian镜像,提供高性能的开源负载均衡和应用交付控制功能,支持TCP/HTTP代理、SSL终止、健康检查等特性,适用于构建可靠的流量管理解决方案。
9 次收藏1000万+ 次下载
23 天前更新
haproxytech/haproxy-alpine
haproxytech
HAProxy社区版Docker镜像,基于Alpine Linux构建,提供高性能负载均衡与反向代理功能,适用于构建轻量级、高可用的Web服务或应用集群。
18 次收藏500万+ 次下载
16 天前更新
haproxytech/haproxy-ubuntu
haproxytech
HAProxy社区版Docker Ubuntu镜像
6 次收藏100万+ 次下载
23 天前更新
haproxytech/haproxy-qns
haproxytech
该Docker镜像包含用于HAProxy的QUIC互操作性测试文件
2 次收藏10万+ 次下载
12 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"