nukengprodservice/stunnel

NUK Engineering Productivity stunnel镜像文档

镜像概述

本镜像为NUK工程生产力团队提供的stunnel工具容器化实现。stunnel是一款开源的TLS/SSL加密包装器，可将非加密的网络服务与TLS/SSL协议集成，实现数据传输加密，提升服务通信安全性。该镜像旨在简化stunnel的部署与配置，适用于工程环境中需对现有非加密服务添加安全通信层的场景。

核心功能与特性

• TLS/SSL加密：支持主流TLS协议版本（TLSv1.2+），提供数据传输加密能力
• 灵活配置：支持自定义stunnel配置文件，适配多种服务场景
• 轻量部署：基于精简基础镜像，容器体积小，资源占用低
• 证书管理：支持挂载外部证书文件或通过环境变量注入证书内容
• 多协议支持：可用于加密TCP协议的各类服务（如HTTP、FTP、数据库等）

使用场景

• 为未原生支持TLS的内部服务（如HTTP服务、数据库服务）添加加密通信能力
• 开发/测试环境中快速搭建安全通信通道，模拟生产环境加密场景
• 跨网络服务间的安全数据传输，防止中间人***和数据泄露
• 需符合安全合规要求的工程环境，满足数据传输加密审计需求

使用方法与配置说明

基础使用（通过配置文件）

1. 准备stunnel配置文件
   创建stunnel.conf配置文件，示例配置（加密本地HTTP服务）：

   ini
   [https]
   accept = 443
   connect = 80
   cert = /etc/stunnel/cert.pem
   key = /etc/stunnel/key.pem
   

2. 启动容器
   挂载配置文件和证书目录：

   bash
   docker run -d \
     -p 443:443 \
     -v /path/to/stunnel.conf:/etc/stunnel/stunnel.conf \
     -v /path/to/certs:/etc/stunnel \
     --name stunnel nuk-eng-prod/stunnel
   

环境变量配置（无需外部文件）

通过环境变量注入配置内容（适用于简单场景）：

• STUNNEL_CONF：直接传入stunnel配置内容
• CERT_CONTENT：证书文件内容（PEM格式）
• KEY_CONTENT：私钥文件内容（PEM格式）

示例：

bash
docker run -d \
  -p 443:443 \
  -e STUNNEL_CONF="[https]\naccept = 443\nconnect = 80" \
  -e CERT_CONTENT="$(cat /path/to/cert.pem)" \
  -e KEY_CONTENT="$(cat /path/to/key.pem)" \
  --name stunnel nuk-eng-prod/stunnel

关键配置参数说明

docker-compose部署示例

创建docker-compose.yml：

yaml
version: '3'
services:
  stunnel:
    image: nuk-eng-prod/stunnel
    ports:
      - "443:443"
    volumes:
      - ./stunnel.conf:/etc/stunnel/stunnel.conf
      - ./certs:/etc/stunnel
    restart: unless-stopped

启动服务：

bash
docker-compose up -d

注意事项

• 证书需确保有效性，建议使用受信任CA签发的证书或自签名证书（测试环境）
• 生产环境中建议限制容器网络访问，仅允许必要端口通信
• 配置文件中避免使用明文敏感信息，可通过环境变量或密钥管理工具注入
• 定期更新镜像以获取stunnel安全补丁和功能更新