arm32v6/spiped Docker 镜像 - 轩辕镜像

arm32v6/spiped Docker 镜像文档

镜像概述

本镜像为 spiped 官方镜像 的 arm32v6 架构专用构建版本。spiped 是一款用于在套接字地址间创建对称加密与认证管道的工具，本镜像专注于为 arm32v6 架构环境提供轻量级、安全的网络通信加密解决方案。

什么是 spiped？

spiped（发音为 "ess-pipe-dee"）是一款用于在套接字地址间创建对称加密和认证管道的工具。通过 spiped，用户可连接至一个地址（如本地 UNIX 套接字），并透明地建立到另一个地址（如远程系统的 UNIX 套接字）的安全连接。其功能类似 ssh -L，但无需依赖 SSH 协议，仅需预共享对称密钥即可工作。

更多信息：tarsnap.com/spiped.html

核心功能与特性

• 对称加密与认证：采用对称加密算法保障数据传输机密性，同时提供数据完整性认证
• 容器化适配：默认从 /spiped/key 文件读取密钥（自动设置 -k 选项），并以前台模式（-F）运行，适配容器生命周期管理
• 原生选项兼容：除自动配置的 -k 和 -F 外，支持 spiped 所有原生命令行参数
• 安全运行模式：可通过 --user spiped 选项以非特权用户运行，降低权限暴露风险
• 多架构支持：官方镜像支持 amd64、arm32v5、arm32v6 等多种架构，本镜像专注 arm32v6 环境

支持的标签及 Dockerfile 链接

• 1.6.4-alpine, 1.6-alpine, 1-alpine, alpine

使用场景与适用范围

• 服务端口加密转发：将外部加密连接（如端口 8025）转发至内部明文服务（如端口 25 的邮件服务）
• 容器间加密通信：在多容器架构中，为跨容器网络传输提供加密通道（如连接数据库、Elasticsearch 等服务）
• 轻量级安全代理：替代 SSH 隧道，为资源受限的 arm32v6 设备提供低开销的加密转发能力
• 跨主机安全通信：通过预共享密钥，在无 SSH 环境下实现不同主机间的安全套接字连接

使用方法与配置说明

基本使用方式

本镜像自动从 /spiped/key 文件读取密钥（-k 选项）并以前台模式（-F）运行，其他参数与原生 spiped 工具完全兼容。运行无参数容器可查看所有支持的命令行选项：

console
$ docker run -it --rm arm32v6/spiped
usage: spiped {-e | -d} -s <source socket> -t <target socket> -k <key file>
    [-DFj] [-f | -g] [-n <max # connections>] [-o <connection timeout>]
    [-p <pidfile>] [-r <rtime> | -R]

核心命令行选项说明

部署示例

示例 1：本地端口加密转发

将加密连接（端口 8025）解密后转发至本地 25 端口（如邮件服务）：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \  # 挂载只读密钥文件
  -p 8025:8025 \                         # 映射端口
  --init \                               # 使用 init 进程管理信号
  arm32v6/spiped \
  -d -s '[0.0.0.0]:8025' -t '[127.0.0.1]:25'  # 解密模式：源 8025 -> 目标 25

示例 2：与其他容器联动

将加密连接（端口 9200）解密后转发至 elasticsearch 容器的 9200 端口：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \    # 链接至目标容器
  --init \
  arm32v6/spiped \
  -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'  # 目标地址为容器名:端口

示例 3：非特权用户运行

若无需绑定特权端口（<1024），可指定 --user spiped 以非特权用户运行：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --user spiped \                        # 非特权用户运行
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  arm32v6/spiped \
  -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

密钥生成

使用镜像内置脚本生成 256 位预共享密钥（保存至 /path/to/keyfile 目录）：

console
$ docker run -it --rm \
  -v /path/to/keyfile:/spiped/key \  # 挂载密钥文件目录
  arm32v6/spiped \
  spiped-generate-key.sh             # 执行密钥生成脚本

生成的密钥文件需通过安全渠道（如 scp）传输至通信对端主机。

镜像变体

arm32v6/spiped:<version>

默认镜像，基于标准 Linux 发行版构建，包含完整依赖库，兼容性好，适合大多数生产环境。

arm32v6/spiped:<version>-alpine

基于 Alpine Linux 构建，镜像体积显著减小（基础镜像约 5MB），适合资源受限的 arm32v6 设备。注意：Alpine 使用 musl libc 而非 glibc，部分依赖 glibc 特性的场景可能存在兼容性问题。

快速参考

• 维护者：Tim Düsterhus（Docker 社区），Colin（spiped 上游支持）
• 获取帮助：Docker 社区 Slack、Server Fault、Unix & Linux、Stack Overflow
• 问题反馈：[***]
• 支持的架构：amd64、arm32v5、arm32v6、arm32v7、arm64v8、i386、ppc64le、riscv64、s390x
• 镜像 artifact 详情：repo-info 仓库的 spiped 目录（包含元数据、传输大小等）
• 镜像更新：official-images 仓库的 library/spiped 标签 及 文件历史
• 文档来源：docs 仓库的 spiped 目录（包含文档历史）

许可协议

本镜像包含的软件许可信息参见 spiped 官方版权说明。
与所有 Docker 镜像一样，本镜像可能包含基础发行版提供的其他软件（如 Bash 等），其许可协议可能有所不同。用户应确保对镜像中所有软件的使用符合相关许可要求。
自动检测的附加许可信息可参见 repo-info 仓库的 spiped 目录。