arm32v5/spiped Docker 镜像 - 轩辕镜像

spiped (arm32v5) 镜像文档

1. 镜像概述和主要用途

本镜像为 arm32v5 架构的 spiped 官方镜像构建版本。spiped（发音为“ess-pipe-dee”）是一款用于在 socket 地址之间创建对称加密和认证管道的工具。通过该工具，用户可连接到一个地址（如本地 UNIX socket），并透明地建立与另一个地址（如远程系统的 UNIX socket）的加密连接。其功能类似于 ssh -L，但无需依赖 SSH，仅需预共享对称密钥。

2. 核心功能和特性

• 对称加密与认证：采用对称加密算法对数据进行加密，并提供连接认证，确保通信安全。
• 管道转发：在源 socket 和目标 socket 之间建立加密管道，实现透明数据转发。
• 轻量部署：镜像体积小巧，适合容器化环境快速部署。
• 自动密钥读取：默认从 /spiped/key 文件读取密钥，简化配置流程。
• 前台运行模式：默认以 foreground 模式运行（-F 参数），适配容器生命周期管理。
• 多架构支持：除 arm32v5 外，还支持 amd64、arm32v6、arm32v7、arm64v8 等多种架构。
• 非特权运行：支持以非特权用户 spiped 运行，增强安全性。

3. 使用场景和适用范围

• 加密端口转发：将外部加密连接转发到内部服务端口（如邮件服务 25 端口、数据库 3306 端口）。
• 容器间安全通信：在多容器环境中，通过 spiped 加密容器间的网络通信（如链接 Elasticsearch、数据库容器）。
• 本地服务加密暴露：将本地未加密服务通过加密管道暴露到外部网络，避免明文传输风险。
• 轻量级安全代理：替代 SSH 端口转发，适用于无需 SSH 协议的简单加密转发场景。

4. 支持的标签及 Dockerfile 链接

5. 详细使用方法和配置说明

5.1 基本用法

镜像默认从 /spiped/key 文件读取密钥（-k 参数），并以 foreground 模式运行（-F 参数）。其他参数与 spiped 原生参数一致。运行以下命令可查看所有支持的参数：

console
$ docker run -it --rm arm32v5/spiped
usage: spiped {-e | -d} -s <source socket> -t <target socket> -k <key file>
    [-DFj] [-f | -g] [-n <max # connections>] [-o <connection timeout>]
    [-p <pidfile>] [-r <rtime> | -R]

5.2 核心参数说明

5.3 生成密钥

使用以下命令生成密钥文件（需挂载本地目录到容器的 /spiped 目录）：

console
$ docker run -it --rm -v /本地路径/密钥目录:/spiped arm32v5/spiped spiped-generate-key.sh

生成的密钥文件为 /本地路径/密钥目录/key，需安全传输到通信双方（如加密端和解密端）。

5.4 部署示例

示例 1：解密外部连接并转发到本地服务

将外部加密连接（端口 8025）解密后转发到本地 SMTP 服务（端口 25）：

console
$ docker run -d \
  -v /本地路径/密钥文件:/spiped/key:ro \  # 挂载密钥文件（只读）
  -p 8025:8025 \                          # 映射端口
  --init \                                # 启用 init 进程管理信号
  arm32v5/spiped \
  -d \                                    # 解密模式
  -s '[0.0.0.0]:8025' \                   # 监听所有网卡的 8025 端口
  -t '[127.0.0.1]:25'                     # 转发到本地 25 端口

示例 2：与其他容器链接并转发

将外部加密连接（端口 9200）解密后转发到 elasticsearch 容器的 9200 端口：

console
$ docker run -d \
  -v /本地路径/密钥文件:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \    # 链接到 elasticsearch 容器
  --init \
  arm32v5/spiped \
  -d \
  -s '[0.0.0.0]:9200' \
  -t 'elasticsearch:9200'                 # 目标为容器名:端口

示例 3：以非特权用户运行

若无需绑定特权端口（<1024），可指定 --user spiped 以非特权用户运行，增强安全性：

console
$ docker run -d \
  -v /本地路径/密钥文件:/spiped/key:ro \
  --user spiped \                         # 非特权用户运行
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  arm32v5/spiped \
  -d \
  -s '[0.0.0.0]:9200' \
  -t 'elasticsearch:9200'

6. 维护与支持

6.1 维护者

• Tim Düsterhus（Docker 社区）
• Colin（spiped 上游支持）

6.2 获取帮助

• Docker 社区 Slack：[***]
• Server Fault：[***]
• Unix & Linux Stack Exchange：[***]
• Stack Overflow：[***]

6.3 问题反馈

提交 issue 至 GitHub 仓库：[***]

6.4 支持的架构

除 arm32v5 外，官方镜像还支持以下架构：
amd64、arm32v6、arm32v7、arm64v8、i386、ppc64le、riscv64、s390x
（各架构镜像地址：Docker Hub）

7. 许可证信息

• 软件许可证：spiped 官方许可证
• 镜像包含的其他软件（如基础系统组件、依赖库等）可能遵循不同许可证，用户需自行确保合规使用。
• 镜像元数据及更新历史：repo-info 仓库