热门搜索:
sjawhar/docker-socket-proxy
自动构建
sjawhar
使用socat安全代理Docker Unix套接字的TCP请求,支持服务器和客户端证书双向认证,无需重新配置Docker守护进程,高度可配置,兼容单主机和Swarm模式。
2 次收藏下载次数: 0状态:自动构建维护者:sjawhar仓库类型:镜像最近更新:4 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Docker Socket Secure Proxy
这是一个小型但功能强大的Docker镜像,通过socat将TCP请求安全代理到Docker守护进程套接字,处理服务器和客户端证书的双向认证,无需重新配置和重启Docker守护进程。该镜像设计为高度可配置,兼容单主机和Swarm模式的Docker环境。
默认使用2376端口,也可通过主机端口转发轻松配置为其他端口。镜像也可在不启用TLS的情况下运行(详见下文),但显然这会降低安全性。
欢迎提出评论、问题和PR。如果此镜像不能完全满足您的需求,请告知,我们或许可以共同改进!
包含内容
- Alpine 3.15
- Socat
- 仅此而已!
使用方法
-
如果您还没有CA、服务器和客户端证书及密钥,可参考Docker文档中的说明生成。生成时,请确保使用客户端访问Docker主机时将使用的FQDN作为
$HOST值。 -
备份这些文件,然后选择以下任一方式:
- 将
ca.pem、server-cert.pem和server-key.pem放置在可挂载到容器的目录中。 - 将这些文件作为secrets添加到Swarm中。
- 将
-
运行容器!环境变量和其他命令详见下文,一般运行命令如下:
bashdocker run -d -p 2376:2376 \ -v /var/run/docker.sock:/var/run/docker.sock \ -v $HOST_CERTS_DIR:$CERTS_DIR:ro -e $CERTS_DIR \ sjawhar/docker-socket-proxy
-
将
ca.pem、cert.pem和key.pem复制到客户端机器。 -
对主机运行命令:
bashdocker -H tcp://$HOST:2376 --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem info
您也可以使用提供的docker-compose文件作为起点:
- https://github.com/sjawhar/docker-socket-proxy/blob/master/docker-compose.yml
- https://github.com/sjawhar/docker-socket-proxy/blob/master/docker-compose.swarm.yml
应用场景
- 测试时不希望因重新配置守护进程而弄乱Docker机器
- 需要轻松更改Docker套接字访问端口以增强安全性
- 偏好将所有组件都容器化的部署方式
- CI/CD构建代理在内部网络中安全部署到生产和 staging 环境(个人使用场景)
环境变量
DOCKER_SOCKET:容器内Docker套接字的位置,默认为/var/run/docker.sock。CERTS_DIR:容器内包含证书的文件路径,默认为/run/secrets(为兼容Swarm secrets)。SERVER_CERT:CERTS_DIR中服务器证书文件的名称,默认为server-cert.pem。SERVER_KEY:CERTS_DIR中服务器密钥文件的名称,默认为server-key.pem。CA_FILE:CERTS_DIR中CA证书的名称,默认为ca.pem。LISTEN_PORT:socat监听的端口,默认为2376(通常无需修改,可通过主机端口转发更改)。LISTEN_SECURE:默认为true(启用TLS),设为false时禁用TLS并使用TCP-LISTEN。警告:若设置LISTEN_SECURE=false且入站流量可访问此容器,将显著增加安全风险。
额外命令
docker run中使用的任何命令都将作为socat的选项传递。可用于自定义详细程度(-ddd)、日志格式(-lmlocal2)、超时时间(-t 1000000)等。更多可用选项详见socat文档。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 docker-socket-proxy 镜像标签
docker pull docker.xuanyuan.run/sjawhar/docker-socket-proxy:<标签>
DockerHub 原生拉取命令
docker pull sjawhar/docker-socket-proxy:<标签>
更多 docker-socket-proxy 镜像推荐
zoeyvid/docker-socket-proxy
zoeyvid
暂无描述
1万+ 次下载
21 天前更新
tecnativa/docker-socket-proxy
tecnativa
Docker Socket Proxy是一个安全增强的Docker套接字代理,通过限制对Docker套接字API的访问来提高安全性,仅允许经过授权的请求,阻止危险操作,适用于需要访问Docker套接字但需限制权限的服务场景。
86 次收藏5000万+ 次下载
12 天前更新
fluencelabs/docker-socket-proxy
fluencelabs
这是一个安全增强的Docker Socket代理镜像,通过精细控制API访问权限降低直接暴露Docker socket的风险,适用于需要访问Docker socket但需限制权限的服务场景。
15 次收藏100万+ 次下载
5 年前更新
iamthefij/docker-socket-proxy
iamthefij
Multi-arch version of https://github.com/Tecnativa/docker-socket-proxy
1 次收藏10万+ 次下载
6 年前更新
decentralize/docker-socket-proxy
decentralize
暂无描述
10万+ 次下载
6 年前更新
quiexotic/docker-socket-proxy
quiexotic
这是fluencelabs/docker-socket-proxy的更新版本,提供更细粒度访问控制的Docker Socket安全增强代理,通过环境变量管理API访问权限,默认拒绝安全关键操作,提升容器与Docker socket交互的安全性。
5万+ 次下载
4 年前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"