privatebin/unit-alpine Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
privatebin/unit-alpineprivatebin
PrivateBin运行在Nginx Unit和Alpine Linux栈上的Docker镜像,提供加密在线粘贴板功能,服务器对粘贴数据零知识,数据在浏览器端使用256位AES-GCM加密解密,基于Alpine构建,集成GD模块和Nginx Unit应用服务器,日志转发至docker logs。
1 次收藏下载次数: 0状态:社区镜像维护者:privatebin仓库类型:镜像最近更新:18 天前
PrivateBin on Nginx Unit & Alpine
PrivateBin 是一个极简的开源在线粘贴板,服务器对粘贴数据零知识。数据在浏览器端使用256位AES的伽罗瓦计数器模式(GCM)进行加密和解密。
本仓库包含创建Docker镜像所需的Dockerfile和资源,预安装了PrivateBin实例并采用安全默认配置。镜像基于Docker Hub的Alpine镜像构建,扩展了生成讨论头像所需的GD模块,以及用于提供静态JavaScript库、CSS、Logo和动态PHP渲染HTML的Nginx Unit应用服务器。Nginx Unit的所有日志(访问日志和错误日志)均转发至docker logs。
限制
与Nginx Web服务器、php-fpm & Alpine镜像相比,本镜像体积更小,但缺少以下功能:
- 静态文本文件无自动gzip压缩
- Nginx Web服务器与nginx unit并非同一产品。"Unit是轻量级、多功能的应用运行时,由Nginx团队成员从零创建..."
你可以使用前端Web服务器解决这些限制,或使用其他提供完整Nginx Web服务器的镜像,这些镜像开箱即支持上述功能。
镜像变体
这是一体化镜像(Docker Hub / GitHub),可与PrivateBin支持的任何存储后端配合使用——基于文件的存储、数据库、Google Cloud或S3存储。我们还提供针对各后端的专用镜像:
- 基于文件存储的镜像(Docker Hub / GitHub)
- 适用于PostgreSQL、MariaDB和MySQL的镜像(Docker Hub / GitHub)
- 适用于Google Cloud Storage的镜像(Docker Hub / GitHub)
- 适用于S3存储的镜像(Docker Hub / GitHub)
镜像标签
所有镜像均包含PrivateBin的发布版本,并提供以下标签:
latest:最新推送镜像的别名,通常与nightly相同,但不包含edgenightly:基于升级后的Alpine版本,包含最新PrivateBin版本及Docker镜像仓库的最新变更edge:基于升级后的Alpine edge版本,包含最新PrivateBin版本stable:包含最新PrivateBin版本及Docker镜像Git仓库的最新标记发布版——当Alpine有重要安全修复或Alpine新版本发布时更新1.5.1:包含PrivateBin 1.5.1版本及Docker镜像Git仓库的最新标记发布版——当Alpine有重要安全修复或Alpine新版本发布时更新,与stable相同1.5.1-...:提供特定不可变镜像的选择
若通过拉取自动更新镜像,建议使用stable、nightly或latest标签。若需控制和可重复性,或使用编排工具,数字标签可能更合适。edge标签提供Alpine未来版本软件的预览,作为检测镜像构建问题的预警系统。
镜像仓库
镜像托管在Docker Hub和GitHub容器仓库:
- Docker Hub上的镜像,前缀为
privatebin或docker.io/privatebin - GitHub上的镜像,前缀为
ghcr.io/privatebin
运行镜像
假设已成功安装Docker并具备互联网访问,可从Docker Hub拉取并运行镜像:
console$ docker run -d --restart="always" --read-only -p 8080:8080 -v $PWD/privatebin-data:/srv/data privatebin/unit-alpine
参数详情:
-v $PWD/privatebin-data:/srv/data:将$PWD/privatebin-data替换为系统中用于持久化粘贴数据和其他服务数据的文件夹路径。确保重启或替换镜像后粘贴数据不丢失。若仅测试镜像或使用数据库/Google Cloud Storage后端,可省略。-p 8080:8080:容器内Nginx Unit监听8080端口,此参数将其暴露到系统的8080端口。生产环境中,建议在前端使用反向代理进行HTTPS终止。--read-only:本镜像支持只读模式运行。减少***面,防止镜像服务中的漏洞覆盖容器内任意文件。仅/tmp、/var/tmp、/var/run和/srv/data可写入。-d:后台启动容器。可使用docker ps和docker logs检查容器状态。--restart="always":容器崩溃时自动重启,主要用于生产环境。
注意:挂载的卷必须由UID 65534/GID 82拥有。若在启用"userns-remap"的Docker实例中运行容器,需将子UID/子GID范围添加到这些数字中。
自定义配置
如需使用自定义conf.php文件(例如启用文件上传或使用不同模板),可添加第二个卷:
console$ docker run -d --restart="always" --read-only -p 8080:8080 -v $PWD/conf.php:/srv/cfg/conf.php:ro -v $PWD/privatebin-data:/srv/data privatebin/unit-alpine
注意:文件系统存储后端开箱即支持。镜像包含MySQL和PostgreSQL的PDO模块,支持数据库后端,但在1.4.0版本前,使用数据库后端时仍需持久化/srv/data以保存服务器salt和流量限制器数据。
环境变量
以下变量传递给PHP应用以支持多种场景,允许通过环境修改设置而非配置文件。大多数与存储后端相关:
S3后端使用的Amazon Web Services变量
AWS_ACCESS_KEY_IDAWS_CONTAINER_AUTHORIZATION_TOKENAWS_CONTAINER_CREDENTIALS_FULL_URIAWS_CONTAINER_CREDENTIALS_RELATIVE_URIAWS_DEFAULT_REGIONAWS_PROFILEAWS_ROLE_ARNAWS_ROLE_SESSION_NAMEAWS_SECRET_ACCESS_KEYAWS_SESSION_TOKENAWS_STS_REGIONAL_ENDPOINTSAWS_WEB_IDENTITY_TOKEN_FILEAWS_SHARED_CREDENTIALS_FILE
GCS后端使用的Google Cloud变量
GCLOUD_PROJECTGOOGLE_APPLICATION_CREDENTIALSGOOGLE_CLOUD_PROJECTPRIVATEBIN_GCS_BUCKET
自定义后端设置
以下变量默认不使用,但可在自定义配置文件中启用,以避免敏感信息存储在配置文件中:
STORAGE_HOSTSTORAGE_LOGINSTORAGE_PASSWORDSTORAGE_CONTAINER
配置文件夹
CONFIG_PATH
时区设置
镜像支持以下两个环境变量调整时区,主要确保日志显示正确本地时间:
TZPHP_TZ
注意:应用内部基于创建时的时区计算粘贴过期的UNIX时间戳。修改PHP_TZ将影响过期时间,时区增加会导致过期提前,减少则延迟。
调整Nginx Unit或PHP设置
可将自定义php.ini挂载到/etc/php/conf.d/文件夹。可通过Unix socket /run/control.unit.sock运行时动态修改Nginx Unit配置——若需持久化Unit配置更改,需将/var/lib/unit挂载为持久卷。例如,如需调整服务接受的文件上传最大大小(默认10 MiB)。
Kubernetes部署
以下是Kubernetes部署示例:
yaml--- apiVersion: apps/v1 kind: Deployment metadata: name: privatebin-deployment labels: app: privatebin spec: replicas: 3 selector: matchLabels: app: privatebin template: metadata: labels: app: privatebin spec: securityContext: runAsUser: 65534 runAsGroup: 82 fsGroup: 82 containers: - name: privatebin image: privatebin/unit-alpine:stable ports: - containerPort: 8080 env: - name: TZ value: Antarctica/South_Pole - name: PHP_TZ value: Antarctica/South_Pole securityContext: readOnlyRootFilesystem: true privileged: false allowPrivilegeEscalation: false livenessProbe: httpGet: path: / port: 8080 readinessProbe: httpGet: path: / port: 8080 volumeMounts: - mountPath: /srv/data name: privatebin-data readOnly: False - mountPath: /run name: run readOnly: False - mountPath: /tmp name: tmp readOnly: False volumes: - name: run emptyDir: medium: "Memory" - name: tmp emptyDir: medium: "Memory"
注意:privatebin-data卷需为跨节点共享的持久卷(如NFS共享)。PrivateBin 1.4.0及以上版本使用数据库或Google Cloud Storage时不再需要。
运行管理脚本
镜像包含两个管理脚本,用于在存储后端间迁移数据、按ID删除粘贴、删除空目录(仅文件系统存储)、清理过期粘贴及显示统计信息。可在运行中的镜像内执行,或使用与服务镜像相同的卷作为替代入口点运行命令(推荐前者)。
console# 假设使用--name privatebin命名容器 $ docker exec -t privatebin administration --help Usage: administration [--delete <paste id> | --empty-dirs | --help | --purge | --statistics] Options: -d, --delete deletes the requested paste ID -e, --empty-dirs removes empty directories (only if Filesystem storage is configured) -h, --help displays this help message -p, --purge purge all expired pastes -s, --statistics reads all stored pastes and comments and reports statistics docker exec -t privatebin migrate --help migrate - Copy data between PrivateBin backends Usage: migrate [--delete-after] [--delete-during] [-f] [-n] [-v] srcconfdir [<dstconfdir>] migrate [-h|--help] Options: --delete-after delete data from source after all pastes and comments have successfully been copied to the destination --delete-during delete data from source after the current paste and its comments have successfully been copied to the destination -f forcefully overwrite data which already exists at the destination -h, --help displays this help message -n dry run, do not copy data -v be verbose <srcconfdir> use storage backend configration from conf.php found in this directory as source <dstconfdir> optionally, use storage backend configration from conf.php found in this directory as destination; defaults to: /srv/bin/../cfg/conf.php
注意:如需在不同存储后端间迁移数据,需使用一体化镜像privatebin/unit-alpine,因其包含所有支持后端的驱动和库。使用变体镜像时,仅能在相同存储类型的后端间迁移(如两个文件系统路径或两个数据库后端)。
构建自己的镜像
如需重现镜像,运行:
console$ docker build -t privatebin/unit-alpine .
幕后说明
Nginx Unit提供静态文件服务并缓存。对/var/www根目录下index.php的请求通过PHP SAPI模块处理。其他PHP文件和数据存储在/srv下。
Nginx配置仅支持HTTP,建议前端使用反向代理进行HTTPS卸载,减少TLS栈***面。本镜像中的Nginx配置支持文本内容的deflate/gzip压缩。
镜像构建过程中,从Github下载PrivateBin发布包。所有下载的Alpine包和PrivateBin包均通过加密签名验证,确保未被篡改后部署到镜像中。
alpine/git
alpine
这是一个运行于Alpine Linux系统中的简易Git容器,Alpine Linux以其极致精简的特性为基础,使得该容器在保持Git核心功能的同时,具备轻量高效的运行表现,尤其适用于各类小型Linux发行版环境,能够满足资源受限场景下的版本控制需求,为嵌入式系统、边缘设备或轻量级开发环境提供便捷的Git服务支持。
251 次收藏1亿+ 次下载
20 天前更新
alpine/curl
alpine
基于Alpine Linux的轻量级Docker镜像,集成了curl命令行工具,专为网络数据传输设计。支持HTTP、HTTPS、FTP等多种协议,可用于API测试、文件下载、服务监控等场景。得益于Alpine的精简特性,镜像体积小巧,启动快速,非常适合在容器化环境中执行临时网络请求或自动化任务,是开发调试、CI/CD流程及微服务健康检查的理想工具。
12 次收藏5000万+ 次下载
14 天前更新
alpine/socat
alpine
基于Alpine的轻量级容器,用于运行socat网络工具,实现端口转发、数据流转发等网络通信功能。
115 次收藏5000万+ 次下载
14 天前更新
alpine/helm
alpine
当Kubernetes Helm有新发布时自动触发Docker构建的镜像
70 次收藏5000万+ 次下载
1 个月前更新
alpine
Docker 官方镜像
这是一款基于轻量级Alpine Linux构建的最小化Docker镜像,它不仅包含完整的软件包索引以确保用户能便捷获取所需依赖,而且体积仅为5MB,能极大节省存储空间与网络传输资源,非常适合对资源占用有严格要求的容器化应用场景,为快速部署和高效运行提供了轻量可靠的基础环境。
1.1万 次收藏10亿+ 次下载
1 个月前更新
alpine/k8s
alpine
用于EKS的Kubernetes工具箱,包含kubectl、helm、iam-authenticator、eksctl等工具,支持EKS环境下的Kubernetes集群管理与操作。
65 次收藏5000万+ 次下载
13 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"