quiexotic/docker-socket-proxy

hellyna/docker-socket-proxy

本镜像每6小时自动更新

https://github.com/Hellyna/docker-socket-proxy/actions/workflows/github-publish.yml/badge.svg](https://github.com/Hellyna/docker-socket-proxy/actions/workflows/github-publish.yml)

可用标签: latest

基于https://hub.docker.com/_/haproxy%E7%9A%84%E4%B8%8A%E6%B8%B8%E5%8F%98%E6%9B%B4

注意: 2.4+版本的容器默认以USER haproxy运行（因此需要--sysctl net.ipv4.ip_unprivileged_port_start=0参数），但旧版本为兼容仍默认以root运行；若需在旧版本中以非root用户运行，可使用--user haproxy（或其他UID）。

考虑到这些变更，需使用--user root运行本镜像以确保功能正常。

本分支尝试在https://github.com/tecnativa/docker-socket-proxy%E5%92%8Chttps://github.com/fluencelabs/docker-socket-proxy%E5%9F%BA%E7%A1%80%E4%B8%8A%E6%8F%90%E4%BE%9B%E6%9B%B4%E7%BB%86%E7%B2%92%E5%BA%A6%E7%9A%84%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E3%80%82

fluencelab分支存在一个问题：若未设置POST=1或DELETE=1，所有POST和DELETE请求将无法工作，且此问题未在其仓库中记录。

快速开始

提示: 若不执行POST或DELETE请求，可将socket设为只读以增强安全性。

适用于https://hub.docker.com/_/traefik%E7%9A%84%E9%A2%84%E8%AE%BE%EF%BC%88docker-compose%EF%BC%89

yaml
#...
services:
  traefik-docker-proxy:
    image: quiexotic/docker-socket-proxy
    restart: unless-stopped
    environment:
      GET_CONTAINERS: 1
    networks:
      traefik-network:
    volumes:
      - /var/run/docker.socket:/var/run/docker.sock:ro
#...

• traefik-network是与traefik服务共享的网络。

适用于https://hub.docker.com/r/robbertkl/ipv6nat%E7%9A%84%E9%A2%84%E8%AE%BE%EF%BC%88docker-compose%EF%BC%89

yaml
#...
services:
  ipv6-nat-docker-proxy:
    image: quiexotic/docker-socket-proxy
    restart: unless-stopped
    environment:
      GET_CONTAINERS: 1
      GET_NETWORKS: 1
    networks:
      ipv6-nat-network:
    volumes:
      - /var/run/docker.socket:/var/run/docker.sock:ro
#...

• ipv6-nat-network是与ipv6nat服务共享的网络。

镜像概述

这是一个安全增强的Docker Socket代理，基于Alpine的官方HAProxy镜像构建，通过自定义配置文件实现对Docker Socket API的访问控制。它能根据设置的环境变量阻止危险请求，为需要访问Docker socket的服务提供安全边界。

核心功能与特性

• 自动更新：每6小时自动更新镜像，确保安全性和兼容性
• 细粒度访问控制：通过环境变量精确控制Docker API各部分的访问权限
• 默认安全策略：默认拒绝安全关键操作（如AUTH、SECRETS等），仅允许基本必要访问
• 解决上游问题：修复fluencelab分支中未文档化的POST/DELETE请求限制问题
• 灵活日志配置：通过LOG_LEVEL环境变量调整日志级别（debug、info、warning等）
• 多API版本支持：兼容Docker API v1.27至v1.37版本

使用场景与适用范围

适用于任何需要访问Docker socket但需限制权限的服务，典型场景包括：

• 反向代理服务（如Traefik）需要监控容器变化
• 网络工具（如ipv6nat）需要获取网络信息
• 容器管理工具需要有限的Docker API访问权限
• 需隔离Docker socket访问的多容器环境

使用方法与配置说明

基本运行方式

bash
docker container run \
  -d \
  --name dockerproxy \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -p 127.0.0.1:2375:2375 \
  tecnativa/docker-socket-proxy

若使用SELinux或AppArmor，可能需要添加--privileged标志。

客户端连接

bash
export DOCKER_HOST=tcp://localhost
# 验证连接
docker version
# 未授权操作将被拒绝（如列出容器）
docker container ls  # 会返回403 Forbidden错误

访问控制配置

通过环境变量授予或撤销API访问权限，变量值：

• 0：撤销访问
• 1：授予访问

默认允许的API部分

以下API部分默认允许，通常为服务正常运行所必需：

• HEAD_PING
• GET_PING
• GET_EVENTS
• GET_VERSION

默认拒绝的API部分

安全关键操作

这些操作具有高安全风险，默认拒绝，启用时需格外谨慎：

• AUTH：认证相关操作
• SECRETS：密钥管理
• POST_ALL：允许所有POST操作
• DELETE_ALL：允许所有DELETE操作

非必需操作

根据服务需求选择性启用，建议先启用POST_ALL=1和DELETE_ALL=1测试，再根据日志精简权限：

日志配置

通过LOG_LEVEL环境变量设置日志级别，默认值为info，可选值：debug、info、notice、warning、err、crit、alert、emerg。

安全建议

• 切勿将容器端口暴露到公网，仅在包含代理和目标服务的内部Docker网络中使用
• 撤销服务不需要的任何API访问权限，遵循最小权限原则
• 本镜像不包含TLS支持，通过Docker内置防火墙限制访问
• 阅读所使用API版本的文档（见下方支持列表），了解各操作的安全影响

支持的API版本

• 1.27
• 1.28
• 1.29
• 1.30
• 1.37

如需特定API版本支持或发现问题，请提交PR。

参考链接：API版本历史