i386/spiped Docker 镜像 - 轩辕镜像

spiped Docker镜像文档

镜像概述

什么是spiped?

spiped（发音为"ess-pipe-dee"）是一款用于在套接字地址之间创建对称加密和认证管道的工具。通过spiped，用户可以连接到一个地址（如本地UNIX套接字），并透明地建立到另一个地址（如远程系统的UNIX套接字）的安全连接。其功能类似于ssh -L，但无需依赖SSH，仅需预共享对称密钥。

主要用途

提供安全的网络连接转发能力，通过对称加密和认证保护套接字间的数据传输，适用于在不信任网络环境中建立安全通信通道。

核心功能与特性

• 对称加密与认证：采用对称加密算法对传输数据进行加密，并提供数据完整性认证，防止篡改
• 套接字转发：支持在TCP或UNIX套接字之间建立加密管道，实现透明数据转发
• 轻量级设计：无复杂依赖，运行资源占用低，适合嵌入式或资源受限环境
• 多架构支持：覆盖amd64、arm32v5、arm32v6、arm32v7、arm64v8、i386、ppc64le、riscv64、s390x等多种架构
• 灵活部署：支持特权/非特权用户运行，可与其他容器联动（通过--link或网络模式）

使用场景与适用范围

• 跨不信任网络的服务通信：如数据库、消息队列等服务的远程安全访问
• 本地服务安全暴露：将内部服务通过加密管道暴露到公网，避免直接暴露原始端口
• 容器间安全通信：在Docker环境中，为跨容器的敏感数据传输提供加密保护
• 替代SSH隧道：在无需SSH服务的场景下，提供轻量级加密转发方案

详细使用方法

前提条件

• 已安装Docker环境
• 预先生成并安全存储spiped对称密钥文件（见下文"密钥生成"）

密钥生成

spiped需要预共享对称密钥进行加密/解密。使用容器内置脚本生成密钥：

console
# 生成密钥并保存到本地/path/to/keyfile目录（密钥文件名为key）
docker run -it --rm -v /path/to/keyfile:/spiped/key i386/spiped spiped-generate-key.sh

生成后，需通过安全渠道（如scp）将密钥文件传输到通信的另一端主机。

基本使用示例

1. 解密模式（接收加密连接并转发）

将加密的外部连接（如端口8025）解密后转发到本地服务（如端口25）：

console
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \  # 挂载密钥文件（只读）
  -p 8025:8025 \                        # 映射端口
  --init \                              # 使用init进程管理信号
  i386/spiped \
  -d \                                  # 解密模式
  -s '[0.0.0.0]:8025' \                 # 源套接字（监听所有接口的8025端口）
  -t '[127.0.0.1]:25'                   # 目标套接字（本地25端口）

2. 加密模式（发送加密连接）

将本地连接加密后发送到远程解密端（如远程主机的8025端口）：

console
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --init \
  i386/spiped \
  -e \                                  # 加密模式
  -s '[127.0.0.1]:25' \                 # 源套接字（本地25端口）
  -t 'remote-host:8025'                 # 目标套接字（远程主机的8025端口）

3. 与其他容器联动

将加密连接转发到Docker网络中的其他容器（如名为elasticsearch的容器端口9200）：

console
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \   # 链接到elasticsearch容器
  --init \
  i386/spiped \
  -d \
  -s '[0.0.0.0]:9200' \
  -t 'elasticsearch:9200'               # 目标为链接容器的9200端口

4. 非特权用户运行

若无需绑定特权端口（<1024），可使用非特权用户spiped运行以增强安全性：

console
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --user spiped \                       # 指定非特权用户
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  i386/spiped \
  -d \
  -s '[0.0.0.0]:9200' \
  -t 'elasticsearch:9200'

配置参数说明

spiped容器的核心配置通过命令行参数传递，支持以下关键参数：

镜像变体

标准版本（i386/spiped:）

• 基于主流Linux发行版构建，包含完整依赖，兼容性好
• 适合大多数场景，尤其是对稳定性要求高的生产环境
• 支持标签：1.6.4、1.6、1、latest

Alpine版本（i386/spiped:-alpine）

• 基于Alpine Linux，镜像体积更小（~5MB基础镜像），资源占用低
• 使用musl libc替代glibc，适合嵌入式或资源受限环境
• 支持标签：1.6.4-alpine、1.6-alpine、1-alpine、alpine
• 注意：部分依赖glibc的功能可能受限，需自行测试兼容性

支持的标签

维护与支持

维护者

• Tim Düsterhus（Docker社区）
• Colin Percival（spiped上游开发者）

获取帮助

• Docker社区Slack：[***]
• Server Fault：[***]
• Unix & Linux Stack Exchange：[***]
• Stack Overflow：[***]

问题反馈

提交issue至GitHub仓库：[***]

许可证信息

• spiped软件许可证：Tarsnap spiped版权信息
• 镜像包含的其他软件（如基础系统、Bash等）可能受不同许可证约束，用户需自行确保合规使用。
• 镜像元数据及更新信息：docker-library/repo-info