VSFTP Docker镜像文档

镜像概述和主要用途

VSFTP Docker镜像是一个基于VSFTP（Very Secure FTP）构建的轻量级容器，用于快速部署安全、稳定的FTP服务。该镜像由WebDevOps构建并测试，集成了VSFTP的核心功能与Docker容器的便捷性，支持灵活配置与环境隔离，适用于各类文件传输场景。

构建与测试：由WebDevOps Build Server提供持续集成支持。
***文档：详细配置说明（如标签、环境变量）可参考ReadTheDocs.io。
支持渠道：通过WebDevOps Slack社区获取技术支持。

核心功能和特性

核心功能

多协议支持：兼容标准FTP协议，可选启用FTPS（FTP over SSL/TLS）加密传输。
访问控制：支持本地用户认证、***访问控制，可限制用户目录访问范围。
被动模式支持：默认启用被动模式（PASV），支持防火墙环境下的客户端连接。
日志记录：提供详细的访问日志，支持日志级别自定义，便于审计与问题排查。

容器特性

轻量部署：基于Alpine或Debian slim基础镜像，体积小，资源占用低。
配置灵活：通过环境变量或挂载配置文件实现动态参数调整，无需修改镜像本身。
环境隔离：容器化部署确保FTP服务与主机环境隔离，避免依赖冲突。

使用场景和适用范围

典型使用场景

文件共享：个人或团队内部通过FTP共享文档、安装包等资源。
网站运维：开发者上传网站代码至服务器，或从服务器下载日志文件。
日志收集：设备或应用通过FTP向中心服务器推送运行日志。
开发环境：本地开发环境与测试服务器之间的文件传输（如前端静态资源部署）。

适用范围

个人开发者、小型团队的日常文件传输需求。
企业内部非敏感数据的跨部门共享（需配合访问控制策略）。
对部署效率要求高、需快速扩缩容的场景（如临时文件分发服务）。

使用方法和配置说明

前提条件

已安装Docker Engine（20.10+）及Docker Compose（可选，用于编排）。
主机开放必要端口（默认21端口用于FTP控制连接，被动模式端口范围需额外映射）。

获取镜像

从Docker Hub或WebDevOps***仓库拉取镜像：

bash
docker pull webdevops/vsftp:latest

快速启动（`docker run`命令）

以下示例创建一个基础FTP服务，包含本地用户认证、数据持久化及被动模式配置：

bash
docker run -d \
  --name vsftp-service \
  -p 21:21 \
  -p 21100-21110:21100-21110 \  # 被动模式端口范围（需与环境变量对应）
  -v /host/path/ftp-data:/ftp \  # 挂载主机目录作为FTP数据存储
  -e FTP_USER=ftpuser \          # 本地FTP用户名
  -e FTP_PASS=ftppassword \      # 本地FTP用户密码
  -e PASV_ENABLE=YES \           # 启用被动模式
  -e PASV_MIN_PORT=21100 \       # 被动模式最小端口
  -e PASV_MAX_PORT=21110 \       # 被动模式最大端口
  -e ALLOW_ANONYMOUS=NO \        # 禁用***访问
  webdevops/vsftp:latest

Docker Compose配置示例

使用docker-compose.yml编排服务（适用于多容器环境或持久化配置）：

yaml
version: '3.8'
services:
  vsftp:
    image: webdevops/vsftp:latest
    container_name: vsftp-service
    restart: always
    ports:
      - "21:21"                # FTP控制端口
      - "21100-21110:21100-21110"  # 被动模式端口范围
    volumes:
      - ./ftp-data:/ftp        # 本地数据卷，持久化FTP文件
      - ./vsftp.conf:/etc/vsftpd/vsftpd.conf  # 自定义配置文件（可选）
    environment:
      - FTP_USER=devteam       # 创建本地用户（devteam）
      - FTP_PASS=SecurePass123!  # 用户密码
      - ALLOW_ANONYMOUS=NO     # 禁止***访问
      - PASV_ENABLE=YES        # 启用被动模式
      - PASV_ADDRESS=192.168.1.100  # 被动模式返回的主机IP（公网/局域网IP）
      - PASV_MIN_PORT=21100    # 被动模式端口范围起始
      - PASV_MAX_PORT=21110    # 被动模式端口范围结束
      - LOG_LEVEL=INFO         # 日志级别（DEBUG/INFO/WARNING/ERROR）

启动服务：

bash
docker-compose up -d

核心配置参数（环境变量）

通过环境变量可动态调整FTP服务行为，常用参数如下表：

环境变量名	描述	默认值	示例值
`FTP_USER`	本地FTP用户名（若为空则不创建用户）	无	`ftpuser`
`FTP_PASS`	本地FTP用户密码（与`FTP_USER`配套）	无	`SecurePass123!`
`ALLOW_ANONYMOUS`	是否允许***访问（`YES`/`NO`）	`NO`	`YES`
`ANONYMOUS_ROOT`	***用户根目录（`ALLOW_ANONYMOUS=YES`时生效）	`/ftp/anonymous`	`/data/ftp`
`PASV_ENABLE`	是否启用被动模式（`YES`/`NO`）	`YES`	`NO`
`PASV_ADDRESS`	被动模式返回的主机IP（客户端用于数据连接）	容器IP	`192.168.1.100`
`PASV_MIN_PORT`	被动模式最小端口（需与宿主机端口映射对应）	`21100`	`30000`
`PASV_MAX_PORT`	被动模式最大端口（需与宿主机端口映射对应）	`21110`	`30010`
`LOG_LEVEL`	日志级别（`DEBUG`/`INFO`/`WARNING`/`ERROR`）	`INFO`	`DEBUG`

数据持久化

为避免容器重启后文件丢失，需将FTP数据目录挂载至宿主机：

容器内默认数据目录：/ftp（本地用户的根目录为/ftp/<username>，***用户为/ftp/anonymous）。
挂载示例：-v /host/ftp-data:/ftp（宿主机/host/ftp-data目录与容器/ftp绑定）。

安全注意事项

端口开放：除21端口外，需开放被动模式端口范围（如21100-21110），并在防火墙规则中允许这些端口的入站连接。
密码强度：避免使用弱密码，建议通过环境变量注入强密码（如结合Docker Secrets管理敏感信息）。
访问：生产环境建议禁用访问（ALLOW_ANONYMOUS=NO），或限制***用户仅可读（需额外配置anon_upload_enable=NO）。
FTPS支持：如需加密传输，需挂载SSL证书（如/etc/vsftpd/ssl/cert.pem和/etc/vsftpd/ssl/key.pem），并通过环境变量启用SSL_ENABLE=YES。