tecnativa/docker-socket-proxy

Docker Socket Proxy

概述

Docker Socket Proxy是一个安全增强的Docker套接字代理。

核心价值

授予Docker套接字访问权限可能意味着授予主机甚至整个 swarm 的root权限，但某些服务需要挂钩到该套接字以响应事件等。使用此代理可以阻止您认为这些服务不应执行的任何操作，从而提高安全性。

实现方式

基于官方Alpine的HAProxy镜像，通过小型配置文件实现。根据设置的环境变量阻止对Docker套接字API的访问，对危险请求返回HTTP 403 禁止访问状态码。

核心功能与特性

• 权限控制：通过环境变量精确控制Docker API各部分的访问权限，默认拒绝危险操作
• 安全防护：阻止未授权的Docker API请求，降低直接暴露Docker套接字的风险
• 轻量高效：基于Alpine和HAProxy，体积小、性能高
• 灵活配置：可根据服务需求启用或禁用特定API section

使用场景

• 当服务需要访问Docker套接字以监听事件、获取容器信息等，但不应拥有完全访问权限时
• 在Docker Swarm环境中，限制服务对Docker套接字的操作范围，防止权限滥用
• 增强Docker环境安全性，减少因直接挂载Docker套接字带来的潜在风险

安全建议

• 切勿将此容器的端口暴露到公共网络，仅在包含代理本身和使用它的服务的Docker网络中使用
• 撤销服务不需要的任何API section访问权限，遵循最小权限原则
• 此镜像不包含TLS支持，仅提供到主机Docker Unix套接字的纯HTTP代理（即使主机配置了TLS保护，Unix套接字本身也不支持TLS）。这是设计使然，因为应通过Docker内置防火墙限制对它的访问
• 阅读文档了解您使用的API版本，并确保了解自己的操作

使用方法

1. 运行API代理

需使用--privileged（特权模式）标志，因为它连接到Docker套接字，在某些SELinux/AppArmor上下文中这是特权连接，否则可能被锁定：

sh
$ docker container run \
    -d --privileged \
    --name dockerproxy \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -p 127.0.0.1:2375:2375 \
    tecnativa/docker-socket-proxy

2. 连接本地Docker客户端到代理

sh
$ export DOCKER_HOST=tcp://localhost

3. 验证访问控制

• 可查看Docker版本（默认允许VERSION API）：

sh
$ docker version
Client:
 Version:      17.03.1-ce
 API version:  1.27
 Go version:   go1.7.5
 Git commit:   c6d412e
 Built:        Mon Mar 27 17:14:43 2017
 OS/Arch:      linux/amd64

Server:
 Version:      17.03.1-ce
 API version:  1.27 (minimum version 1.12)
 Go version:   go1.7.5
 Git commit:   c6d412e
 Built:        Mon Mar 27 17:14:43 2017
 OS/Arch:      linux/amd64
 Experimental: false

• 无法查看运行中的容器（默认禁止CONTAINERS API）：

sh
$ docker container ls
Error response from daemon: <html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.
</body></html>

任何使用此代理2375端口访问Docker套接字API的容器都会受到相同的访问控制。

配置API访问权限

通过环境变量授予或撤销Docker API特定section的访问权限。变量通常与URL前缀匹配（例如AUTH控制对/auth/* API部分的访问）。

环境变量取值：

• 0：撤销访问权限
• 1：授予访问权限

默认允许访问的API section

以下API section通常无害且几乎是任何使用API的服务所必需的，因此默认允许访问：

• EVENTS（事件）
• PING（心跳检测）
• VERSION（版本信息）

默认禁止访问的API section

安全关键型

以下API section被视为安全关键型，默认禁止访问。启用时需极度谨慎：

• AUTH（认证）：涉及Docker认证操作
• SECRETS（密钥）：Docker密钥管理
• POST：禁用时仅允许GET和HEAD操作，即API所有section均为只读

非必需型

以下API section并非总是需要，可能会暴露服务不需要的信息，根据需求决定是否启用：

• BUILD（构建）：镜像构建相关操作
• COMMIT（提交）：容器提交为镜像
• CONFIGS（配置）：Docker配置管理
• CONTAINERS（容器）：容器生命周期管理（创建、启动、停止、删除等）
• DISTRIBUTION（分发）：镜像分发相关
• EXEC（执行）：在容器内执行命令
• IMAGES（镜像）：镜像管理
• INFO（信息）：Docker系统信息
• NETWORKS（网络）：网络管理
• NODES（节点）：Swarm节点管理
• PLUGINS（插件）：Docker插件管理
• SERVICES（服务）：Swarm服务管理
• SESSION（会话）：会话管理
• SWARM（集群）：Swarm集群管理
• SYSTEM（系统）：系统相关操作
• TASKS（任务）：Swarm任务管理
• VOLUMES（卷）：数据卷管理

开发

除Docker外，开发所需的所有依赖均通过poetry管理。

设置开发环境

sh
poetry install # 安装依赖

测试

本地运行测试时，添加--prebuild自动构建镜像：

sh
poetry run pytest --prebuild

默认情况下，测试使用（并可选预构建）名为docker-socket-proxy:local的镜像。也可单独构建镜像后移除--prebuild标志：

sh
docker image build -t docker-socket-proxy:local . # 单独构建
poetry run pytest # 运行测试

如需使用自定义镜像，设置DOCKER_IMAGE_NAME环境变量：

sh
# 自动构建自定义镜像
env DOCKER_IMAGE_NAME=my_custom_image poetry run pytest --prebuild

# 单独构建自定义镜像后测试
docker image build -t my_custom_image .
env DOCKER_IMAGE_NAME=my_custom_image poetry run pytest

日志配置

通过环境变量LOG_LEVEL设置日志级别，默认值为info。可选值（按严重程度递增）：

• debug（调试）
• info（信息）
• notice（通知）
• warning（警告）
• err（错误）
• crit（严重）
• alert（警报）
• emerg（紧急）

支持的API版本

• 1.27
• 1.28
• 1.29
• 1.30
• 1.37

反馈

任何反馈（问题、疑问）请提交至https://github.com/Tecnativa/docker-socket-proxy/issues。