arm64v8/spiped Docker 镜像 - 轩辕镜像

arm64v8/spiped Docker镜像文档

镜像概述与主要用途

arm64v8/spiped是spiped工具的Docker镜像，专为arm64v8架构优化。spiped（发音"ess-pipe-dee"）是一款用于在 socket 地址间创建对称加密和认证管道的工具，允许用户连接到一个地址（如本地UNIX socket）并透明地建立到另一个地址（如远程系统的UNIX socket）的安全连接。该镜像提供轻量级、跨平台的加密管道解决方案，无需依赖SSH即可实现安全数据传输。

核心功能与特性

• 对称加密与认证：采用预共享密钥实现数据加密和完整性校验，确保传输安全
• 跨地址类型支持：兼容TCP端口与UNIX socket地址
• 轻量级设计：基础镜像体积小，alpine变体进一步优化资源占用
• 多模式运行：支持加密模式（-e）和解密模式（-d）
• 安全增强：可通过--user spiped以非特权用户运行，降低权限风险
• 架构适配：专为arm64v8架构构建，兼容64位ARM设备

使用场景与适用范围

• 服务间安全通信：保护容器间或跨主机服务的数据传输（如数据库、API服务）
• 替代SSH隧道：在无需SSH服务的环境中建立加密数据通道
• 本地端口加密转发：将本地端口的连接通过加密管道转发到远程目标
• 轻量级加密代理：适用于资源受限环境（如嵌入式设备、边缘计算节点）
• 跨网络安全传输：在不可信网络中安全传输敏感数据

详细使用方法与配置说明

前提条件

• 预共享密钥文件：需提前生成并安全分发至通信双方
• Docker环境：已安装支持arm64v8架构的Docker引擎

生成加密密钥

使用镜像内置脚本生成256位密钥文件：

console
$ docker run -it --rm -v /path/to/key/dir:/spiped/key arm64v8/spiped spiped-generate-key.sh

生成的密钥文件将保存至/path/to/key/dir/spiped-keyfile，需通过安全方式（如scp）传输至通信对端主机。

基本运行参数

spiped命令行核心参数：

典型部署示例

1. 本地端口加密转发

将本地8025端口的加密连接解密后转发至本地25端口（如邮件服务）：

console
$ docker run -d \
  -v /path/to/key/dir/spiped-keyfile:/spiped/key:ro \
  -p 8025:8025 \
  --init \
  arm64v8/spiped \
  -d -s '[0.0.0.0]:8025' -t '[127.0.0.1]:25'

2. 链接容器加密通信

将9200端口的加密连接转发至名为elasticsearch的容器的9200端口：

console
$ docker run -d \
  -v /path/to/key/dir/spiped-keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  arm64v8/spiped \
  -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

3. 非特权用户运行

对于非特权端口（>1024），可使用非root用户运行以增强安全性：

console
$ docker run -d \
  -v /path/to/key/dir/spiped-keyfile:/spiped/key:ro \
  --user spiped \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  arm64v8/spiped \
  -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

4. docker-compose配置示例

创建加密管道连接Web服务与数据库：

yaml
version: '3'
services:
  db-spiped:
    image: arm64v8/spiped:latest
    volumes:
      - ./spiped-keyfile:/spiped/key:ro
    user: spiped
    ports:
      - "5432:5432"
    command: -d -s '[0.0.0.0]:5432' -t 'db:5432'
    depends_on:
      - db
    init: true

  db:
    image: arm64v8/postgres:14
    environment:
      POSTGRES_PASSWORD: secret
    # 仅暴露给spiped容器，不直接对外暴露
    expose:
      - 5432

镜像变体

arm64v8/spiped:<version>

默认镜像，基于标准Linux发行版构建，功能全面，兼容性好。适用于大多数场景，尤其适合对稳定性要求高的生产环境。

arm64v8/spiped:<version>-alpine

基于Alpine Linux构建，镜像体积更小（约5MB基础镜像），资源占用更低。适用于对镜像大小有严格要求的场景（如边缘设备、嵌入式系统）。注意：使用musl libc替代glibc，部分依赖glibc特性的应用可能存在兼容性问题。

维护与支持

维护者

• Tim Düsterhus（Docker社区）
• Colin Percival（spiped上游开发者）

支持标签

• 稳定版本：1.6.4, 1.6, 1, latest
• Alpine版本：1.6.4-alpine, 1.6-alpine, 1-alpine, alpine

支持架构

除arm64v8外，官方镜像还提供以下架构版本：amd64, arm32v5, arm32v6, arm32v7, i386, ppc64le, riscv64, s390x

获取帮助

• Docker社区Slack：[***]
• Stack Overflow、Server Fault、Unix & Linux Stack Exchange（相关主题）

问题反馈

提交issue：[***]

镜像更新

• 官方镜像更新跟踪：[***]
• 镜像元数据与历史：[***]

许可证

spiped软件遵循BSD 2-Clause许可证，详见：[***]

Docker镜像可能包含其他软件组件，其许可证请参考基础镜像及依赖项的相关文档。