arm32v7/spiped 镜像文档

镜像概述和主要用途

spiped（发音为"ess-pipe-dee"）是一款用于在 socket 地址间创建对称加密和认证管道的工具。它允许用户连接到一个地址（如本地 UNIX socket），并透明地与另一个地址（如远程系统的 UNIX socket）建立加密连接。该工具类似 ssh -L 的端口转发功能，但无需依赖 SSH，仅需预共享对称密钥即可实现安全通信。

主要用途：在不同 socket 地址间建立加密管道，确保数据传输的机密性和完整性。

核心功能和特性

• 对称加密：采用对称加密算法对传输数据进行加密，保障数据机密性
• 数据认证：对传输数据进行完整性校验，防止数据被篡改
• 跨地址管道：支持在 TCP 端口或 UNIX socket 间创建加密管道
• 轻量部署：通过 Docker 容器化部署，简化配置和环境一致性
• 灵活运行模式：支持加密（-e）和解密（-d）两种模式，适配不同通信场景

使用场景和适用范围

• 服务间加密通信：数据库、API 服务等后台服务间的跨主机数据传输加密
• 本地-远程安全连接：将本地 socket 连接加密转发至远程服务器
• 非信任网络传输：在公共网络中传输敏感数据时，通过加密管道防止窃听
• 容器化环境集成：与 Docker 容器生态结合，为容器间通信提供加密层

支持的标签及 Dockerfile 链接

详细使用方法和配置说明

前提条件

• 预共享对称密钥文件（需在通信双方间安全传输）
• Docker 环境（支持 arm32v7 架构）

密钥生成

使用容器内置脚本生成密钥文件：

console
# 生成密钥并保存至本地 /path/to/keyfile 目录
$ docker run -it --rm -v /path/to/keyfile:/spiped/key arm32v7/spiped spiped-generate-key.sh

生成的密钥文件位于 /path/to/keyfile/key，需通过安全方式（如 scp）传输至通信对端。

基本使用方法

1. 解密模式（接收加密连接并转发）

将加密的外部连接解密后转发至本地服务（如端口 25 的邮件服务）：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \  # 挂载密钥文件（只读）
  -p 8025:8025 \                        # 映射外部端口
  --init \                              # 使用 init 进程管理信号
  arm32v7/spiped \
  -d \                                  # 解密模式
  -s '[0.0.0.0]:8025' \                 # 监听外部连接的地址（0.0.0.0 表示所有网卡）
  -t '[127.0.0.1]:25'                   # 转发目标地址（本地端口 25）

2. 加密模式（发送加密连接）

将本地服务连接加密后转发至远程解密端：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --init \
  arm32v7/spiped \
  -e \                                  # 加密模式
  -s '[127.0.0.1]:25' \                 # 本地服务地址
  -t 'remote-server:8025'               # 远程解密端地址（对应解密模式的监听端口）

3. 与 Docker 容器联动

将加密连接转发至其他容器（如 Elasticsearch）：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \  # 链接至目标容器
  --init \
  arm32v7/spiped \
  -d \
  -s '[0.0.0.0]:9200' \                 # 监听本地 9200 端口
  -t 'elasticsearch:9200'               # 转发至 elasticsearch 容器的 9200 端口

4. 非特权用户运行

若无需绑定特权端口（<1024），可使用非特权用户运行以增强安全性：

console
$ docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --user spiped \                       # 使用 spiped 非特权用户
  --init \
  arm32v7/spiped \
  -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

命令行参数说明

spiped 容器支持 spiped 原生命令行参数，核心参数如下：

镜像变体

arm32v7/spiped:<version>（标准版）

基于 Debian 基础镜像构建，包含完整的系统工具链，适用于大多数场景。若对镜像体积无严格要求，建议优先使用此变体。

arm32v7/spiped:<version>-alpine（轻量版）

基于 Alpine Linux 构建，镜像体积显著减小（约 5MB 基础镜像），适用于资源受限环境。由于使用 musl libc 替代 glibc，部分依赖 glibc 特性的场景可能存在兼容性问题。如需额外工具（如 git、bash），需在 Dockerfile 中手动安装。

维护与支持

• 维护者：Docker 社区的 Tim Düsterhus，及 spiped 上游开发者 Colin Percival 提供技术支持
• 获取帮助：Docker 社区 Slack（[***] Fault、Unix & Linux 或 Stack Overflow
• 提交 issue：GitHub Issues
• 镜像更新：通过 official-images 仓库的 library/spiped 标签跟踪更新

许可证信息

• 软件许可证：spiped 本身的许可信息参见 GitHub
• 镜像依赖：Docker 镜像可能包含基础系统（如 Debian/Alpine）及其他依赖软件，其许可证需另行查阅
• 使用责任：使用本镜像时，需确保符合所有包含软件的许可证要求

镜像元数据、传输大小等详细信息可参见 repo-info 仓库。