ppc64le/spiped

spiped Docker 镜像文档

镜像概述与主要用途

spiped（发音为 "ess-pipe-dee"）是一个用于在套接字地址之间创建对称加密和认证管道的工具。通过该工具，用户可以连接到一个地址（例如本地主机上的 UNIX 套接字），并透明地与另一个地址（例如另一台主机上的 UNIX 套接字）建立连接。其功能类似于 ssh -L，但不依赖 SSH，且需要预共享对称密钥。

本 Docker 镜像提供了 spiped 工具的容器化部署方式，便于快速构建加密通信管道，适用于需要安全传输数据的场景。

核心功能与特性

• 对称加密与认证：采用对称加密算法对数据进行加密，并通过认证机制确保数据完整性和来源合法性
• 套接字地址转发：支持在不同套接字地址（如 TCP 端口、UNIX 套接字）之间建立加密管道
• 轻量级部署：通过 Docker 容器化，简化部署流程，支持快速启动和扩展
• 预共享密钥机制：使用预共享密钥进行加密，确保只有拥有密钥的通信方才能建立连接
• 多架构支持：提供包括 ppc64le 在内的多种架构镜像，适配不同硬件环境

使用场景与适用范围

• 服务间安全通信：保护微服务、数据库（如 MySQL、PostgreSQL）等服务之间的网络通信
• 加密端口转发：将外部加密连接转发至内部未加密服务，提升服务安全性
• 跨主机安全数据传输：在不信任网络环境中，通过加密管道传输敏感数据
• 本地服务加密暴露：将本地服务通过加密管道暴露至外部，限制未授权访问

详细使用方法与配置说明

前提条件

• 已安装 Docker 环境
• 预先生成或获取 spiped 加密密钥文件（详见下文 "生成密钥" 部分）

生成密钥

使用以下命令生成新的密钥文件（将保存至 /path/to/keyfile/spiped-keyfile）：

bash
docker run -it --rm -v /path/to/keyfile:/spiped/key ppc64le/spiped spiped-generate-key.sh

生成后，需通过安全方式（如 scp）将密钥文件传输至通信另一端的主机。

基本使用方法

1. 解密端部署（接收加密连接并转发至目标服务）

将加密连接从端口 8025 转发至本地 25 端口（如邮件服务）：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \  # 挂载密钥文件（只读）
  -p 8025:8025 \                        # 映射端口（主机:容器）
  --init \                              # 使用 init 进程处理信号
  ppc64le/spiped \
  -d \                                  # 解密模式（decrypt）
  -s '[0.0.0.0]:8025' \                 # 监听地址（容器内）
  -t '[127.0.0.1]:25'                   # 目标服务地址（容器内视角）

2. 连接至关联容器

将加密连接从端口 9200 转发至名为 elasticsearch 的关联容器的 9200 端口：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \  # 关联容器（目标服务）
  --init \
  ppc64le/spiped \
  -d \
  -s '[0.0.0.0]:9200' \
  -t 'elasticsearch:9200'               # 目标服务地址（使用关联容器名）

3. 以非特权用户运行

若无需绑定特权端口，可指定 --user spiped 以非特权用户运行，增强安全性：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --user spiped \                       # 指定非特权用户
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  ppc64le/spiped \
  -d \
  -s '[0.0.0.0]:9200' \
  -t 'elasticsearch:9200'

4. 加密端部署（发送加密连接）

在通信另一端（发送方），使用 -e 参数启用加密模式，将本地服务通过加密管道发送至目标主机：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --init \
  ppc64le/spiped \
  -e \                                  # 加密模式（encrypt）
  -s '[0.0.0.0]:25' \                   # 本地服务监听地址
  -t 'target-host:8025'                 # 目标解密端地址（远程主机:端口）

命令参数说明

spiped 容器支持直接传递 spiped 原生参数，核心参数如下：

完整参数列表可通过 docker run --rm ppc64le/spiped 命令查看。

镜像变体

ppc64le/spiped 镜像提供以下变体，适用于不同场景：

ppc64le/spiped:<version>

• 标准镜像：基于常规 Linux 发行版构建，包含完整依赖，兼容性强
• 适用场景：对稳定性和兼容性要求较高的生产环境
• 标签示例：1.6.4, 1.6, 1, latest

ppc64le/spiped:<version>-alpine

• 轻量级镜像：基于 Alpine Linux 构建，体积更小（约 5MB 基础镜像）
• 特点：使用 musl libc 替代 glibc，依赖精简，启动速度快
• 注意事项：部分依赖 glibc 的功能可能受限，适合对镜像体积敏感的场景
• 标签示例：1.6.4-alpine, 1.6-alpine, 1-alpine, alpine

支持的标签及 Dockerfile 链接

维护与支持

维护者

• https://github.com/TimWolla/docker-spiped%EF%BC%8C%E5%B9%B6%E5%BE%97%E5%88%B0 https://github.com/docker-library/official-images/pull/1714#issuecomment-219556607

获取帮助

• Docker 社区 Slack：[***]
• Server Fault：[***]
• Unix & Linux Stack Exchange：[***]
• Stack Overflow：[***]

提交问题

• Issue 跟踪地址：https://github.com/TimWolla/docker-spiped/issues

支持的架构

• amd64, arm32v5, arm32v6, arm32v7, arm64v8, i386, ppc64le, riscv64, s390x
  （详细信息：https://github.com/docker-library/official-images#architectures-other-than-amd64%EF%BC%89

许可证信息

• 软件许可证：spiped 软件本身的许可证信息详见 https://github.com/Tarsnap/spiped/blob/master/COPYRIGHT
• 镜像许可证：本 Docker 镜像包含基础镜像及依赖软件，可能涉及其他许可证（如 Bash 等），用户需确保使用符合所有组件的许可证要求
• 镜像元数据：可通过 https://github.com/docker-library/repo-info/blob/master/repos/spiped 获取镜像元数据、传输大小等信息

注：本镜像为 ppc64le 架构专用构建，更多架构信息参见 https://github.com/docker-library/official-images#architectures-other-than-amd64%E3%80%82