容器化 ZeroTier One

注意：以下内容主要针对 Docker 镜像。如需了解 ZeroTier 本身的更多信息，可查看其代码仓库：GitHub 或***网站 ZeroTier。

ZeroTier 简介

ZeroTier 是一款面向全球的智能可编程以太网交换机，能让所有联网设备、虚拟机、容器和应用程序像处于同一物理数据中心或云区域一样通信。

其核心原理是将加密寻址的安全对等网络（VL1）与类 VXLAN 的以太网仿真层（VL2）结合。VL2 以太网虚拟化层支持企业级 SDN 特性，如用于网络微分段的细粒度访问控制规则和安全监控。

所有 ZeroTier 流量均通过用户控制的密钥进行端到端加密。大部分流量通过对等方式传输，无法建立对等连接时，可使用免费（但速度较慢）的中继服务。

ZeroTier 的设计目标和原则受多项理念启发，包括谷歌早期的 BeyondCorp 论文及 Jericho Forum 提出的“去边界化”概念。

更多信息和预编译安装包可访问 ZeroTier 官网，移动端（Android/iOS）应用可在应用商店免费下载。

许可说明

ZeroTier 基于 BSL 1.1 许可 发布（详见 LICENSE.txt 和 定价页面）。企业/学术机构内部使用或非商业用途可免费使用；部分商业场景（如基于 ZeroTier 开发闭源应用/设备，或提供 ZeroTier 网络控制器作为 SaaS 服务）需获取商业许可。

代码中包含少量第三方组件，不受 BSL 许可约束。第三方组件清单、位置及许可信息见 AUTHORS.md，均采用宽松许可（MIT、BSD、Apache、公共领域等）。

构建 Docker 镜像

网络通常作为应用的底层基础设施，因此许多用户可能需要基于***配置构建自定义镜像。

基础信息

• 镜像基于 debian:bullseye 构建。
• 构建配置文件为 Dockerfile.release，支持多架构和多版本构建。

构建参数

• VERSION：必填，指定待拉取的 ZeroTier 版本。

构建命令

bash
docker build -f Dockerfile.release -t mybuild --build-arg VERSION=1.6.5 .

使用 Docker 镜像

核心机制

镜像的 entrypoint.sh 脚本设计特殊：zerotier 进程在后台启动，“主进程”实际为一个休眠的 shell 脚本。这确保 zerotier-one 在 Docker 环境中能优雅终止。

运行要求

使用 zerotier/zerotier 镜像需满足：

• 授予 CAP_NET_ADMIN 权限；
• 转发 /dev/net/tun 设备。

加入网络

启动容器时，直接在命令行指定网络 ID（可同时加入多个网络）：

bash
docker run --name myzerotier --rm --cap-add NET_ADMIN --device /dev/net/tun zerotier/zerotier:latest abcdefdeadbeef00

容器启动后会加入指定网络，随后进入休眠状态直至终止。

检查网络状态

ZeroTier 加入网络后不一定立即分配 IP 或可用，需通过控制套接字确认状态：

bash
docker exec myzerotier zerotier-cli listnetworks

首次使用时（未预配置身份），需在 ZeroTier 管理面板中手动授权设备（勾选对应身份）。

环境变量

可通过环境变量配置身份和控制套接字认证：

• ZEROTIER_API_SECRET：替换 authtoken.secret，用于控制套接字的认证密钥。
• ZEROTIER_IDENTITY_PUBLIC：identity.public 文件内容，需通过 zerotier-idtool 生成。
• ZEROTIER_IDENTITY_SECRET：identity.secret 文件内容，需通过 zerotier-idtool 生成。

使用提示

• 高流量服务建议转发 <dockerip>:9993 端口。
• 如需远程管理，可转发 localhost:9993 到控制网络，确保通过环境变量正确配置 ZEROTIER_API_SECRET。
• 身份预生成可借助 Terraform 插件 简化流程。