tomsquest/docker-radicale

Docker-Radicale

镜像概述和主要用途

Radicale是一款轻量级CalDAV/CardDAV服务器，用于日历和联系人数据的存储与同步。本Docker镜像为Radicale的增强版本，专注于安全性、多架构支持和易用性，适合需要自建日历/联系人服务的个人或小型组织。

核心功能和特性

• 🔒 安全加固：容器为只读模式，仅访问数据目录，无额外权限
• 🏗️ 多架构支持：兼容amd64、arm（如树莓派）等多种架构
• 🔥 安全运行：以普通用户（非root）身份运行，降低风险
• ✨ 内置工具：包含git（用于数据版本控制）和Pytz/tz-data（用于时区处理）

使用场景和适用范围

• 个人用户自建日历/联系人同步服务，保障数据隐私
• 小型团队共享日历和联系人信息
• 需要跨设备（如手机、电脑）同步日历/联系人的场景
• 对服务安全性和资源占用有较高要求的环境

详细使用方法和配置说明

运行容器

选项1：基础运行

适合快速测试或简单场景：

bash
docker run -d --name radicale \
    -p 5232:5232 \
    -v ~/radicale/data:/data \
    tomsquest/docker-radicale

选项2：推荐生产级运行（安全加固）

包含安全限制、资源控制和健康检查：

bash
docker run -d --name radicale \
    -p 127.0.0.1:5232:5232 \  # 仅本地访问，建议配合反向代理暴露公网
    --init \
    --read-only \  # 只读容器
    --security-opt="no-new-privileges:true" \
    --cap-drop ALL \  # 移除所有能力
    --cap-add CHOWN \  # 用于修复数据目录权限（需要时）
    --cap-add SETUID \  # 必要：切换至radicale用户
    --cap-add SETGID \  # 必要：切换至radicale用户组
    --cap-add KILL \  # 必要：允许Radicale正常退出
    --pids-limit 50 \  # 进程数限制
    --memory 256M \  # 内存限制
    --health-cmd="curl --fail http://localhost:5232 || exit 1" \  # 健康检查
    --health-interval=30s \
    --health-retries=3 \
    -v ~/radicale/data:/data \  # 数据持久化
    tomsquest/docker-radicale

Docker Compose部署

项目包含docker-compose.yml文件，可直接使用或扩展：

yaml
version: '3'
services:
  radicale:
    image: tomsquest/docker-radicale
    ports:
      - "127.0.0.1:5232:5232"
    volumes:
      - ~/radicale/data:/data
    read_only: true
    security_opt:
      - "no-new-privileges:true"
    cap_drop:
      - ALL
    cap_add:
      - CHOWN
      - SETUID
      - SETGID
      - KILL
    pids_limit: 50
    mem_limit: 256M
    healthcheck:
      test: ["CMD", "curl", "--fail", "http://localhost:5232", "||", "exit", "1"]
      interval: 30s
      retries: 3

启动命令：docker-compose up -d

自定义配置

1. 获取配置文件：

   • 推荐使用项目预配置的config文件
   • 或使用Radicale官方配置文件，需修改：
     • hosts = 0.0.0.0:5232
     • filesystem_folder = /data/collections

2. 部署自定义配置：

   bash
   # 创建配置目录
   mkdir -p /my_custom_config_directory
   # 复制配置文件
   cp config /my_custom_config_directory/config
   # 运行容器时挂载配置卷（只读）
   docker run -d --name radicale \
       -v /my_custom_config_directory:/config:ro \
       -v ~/radicale/data:/data \
       tomsquest/docker-radicale
   

卷与绑定挂载权限处理

当使用Docker卷（非绑定挂载）时，可能出现chown: /data: Permission denied错误。可通过TAKE_FILE_OWNERSHIP环境变量控制是否自动修复数据目录权限：

• 默认值：true（容器会尝试修复/data目录权限）
• 禁用修复：-e "TAKE_FILE_OWNERSHIP=false"

bash
docker run -d --name radicale \
    -e "TAKE_FILE_OWNERSHIP=false" \
    -v ~/radicale/data:/data \
    tomsquest/docker-radicale

多架构支持

Docker会自动为不同架构选择匹配的镜像，无需额外配置，支持amd64、arm、arm64等。

扩展镜像

可通过Dockerfile扩展镜像功能，例如安装插件：

**示例：安装RadicaleIMAP（*认证）和RadicaleInfCloud（替代UI）

创建Dockerfile.extended：

dockerfile
FROM tomsquest/docker-radicale

RUN python3 -m pip install git+https://github.com/Unrud/RadicaleIMAP
RUN python3 -m pip install git+https://github.com/Unrud/RadicaleInfCloud

构建并运行：

bash
docker build -t radicale-extended -f Dockerfile.extended .
docker run --name radicale-extended -p 5232:5232 radicale-extended

Git数据版本控制

Radicale支持变更后执行钩子，可结合git实现数据版本控制。参考Radicale官方文档配置钩子脚本，镜像已内置git工具。

自定义用户/组ID

为解决数据目录权限问题，提供四种自定义用户/组ID的方法：

选项0：默认自动修复（推荐用于绑定挂载）

容器启动时自动修复/data目录权限，适用于绑定挂载，主机目录会被设为UID/GID 2999。

选项1：主机创建2999用户/组

在主机创建与容器内匹配的用户/组：

bash
sudo addgroup --gid 2999 radicale
sudo adduser --gid 2999 --uid 2999 --shell /bin/false --disabled-password --no-create-home radicale

选项2：运行时自定义UID/GID

通过环境变量指定，不支持--read-only标志：

bash
docker run -d --name radicale \
    -e "UID=123" -e "GID=456" \
    -v ~/radicale/data:/data \
    tomsquest/docker-radicale

选项3：构建时自定义UID/GID

克隆项目后本地构建，支持--read-only标志：

bash
docker build --build-arg=BUILD_UID=5000 --build-arg=BUILD_GID=5001 -t radicale-custom .

镜像标签

镜像标签格式：架构.Radicale版本.镜像迭代号，例如：

• tomsquest/docker-radicale:amd64.3.0.6.0
• tomsquest/docker-radicale:arm.3.0.6.0

最新版本可使用latest标签。