Greenbone Community Edition Mosquitto MQTT Broker 镜像文档

1. 镜像概述和主要用途

该镜像是基于 Eclipse Mosquitto 的轻量级 MQTT 消息代理，专为 Greenbone Community Edition 设计。它提供可靠的发布/订阅（Publish/Subscribe）消息传递服务，用于 Greenbone 漏洞扫描系统中各组件（如扫描引擎、管理服务、前端界面等）之间的实时通信，支持事件通知、状态同步和数据传输等核心业务场景。

2. 核心功能和特性

2.1 核心功能

• 轻量级消息代理：基于 Mosquitto 构建，资源占用低，适合嵌入式和服务器环境。
• MQTT 协议支持：兼容 MQTT v3.1、v3.1.1 和 v5.0 协议，满足不同设备和组件的通信需求。
• Greenbone 兼容性：针对 Greenbone Community Edition 组件通信协议优化，确保与 Greenbone 生态无缝集成。

2.2 关键特性

• 安全通信：支持 TLS/SSL 加密（端口 8883）和基础认证（用户名/密码），保障数据传输安全。
• 灵活配置：支持通过配置文件自定义代理行为（如端口、日志、持久化策略等）。
• 持久化存储：支持消息持久化和客户端会话状态保存，避免服务重启导致的数据丢失。
• 低延迟：优化消息路由机制，确保 Greenbone 组件间实时数据交互的低延迟要求。

3. 使用场景和适用范围

3.1 典型使用场景

• Greenbone 组件间通信：作为扫描引擎（OpenVAS Scanner）、管理服务（gvmd）、前端（GSA）等组件的消息中枢，传递扫描任务、进度状态、漏洞数据等信息。
• 事件通知：实时推送系统事件（如扫描任务开始/结束、漏洞发现）至 Greenbone 管理节点。
• 分布式部署支持：在多节点 Greenbone 部署中，实现跨节点组件的消息同步。

3.2 适用范围

• Greenbone Community Edition 开发、测试及生产环境部署。
• 需要轻量级消息中间件的 Greenbone 定制化场景。
• 对 MQTT 协议兼容的 IoT 或分布式系统集成（基于 Greenbone 扩展场景）。

4. 使用方法和配置说明

4.1 基本使用（Docker Run）

4.1.1 快速启动（无持久化，未加密）

bash
docker run -d \
  --name greenbone-mosquitto \
  -p 1883:1883 \
  greenbone/mosquitto

• 说明：启动未加密的 MQTT 服务（端口 1883），适合测试环境。

4.1.2 带持久化和日志的启动

bash
docker run -d \
  --name greenbone-mosquitto \
  -p 1883:1883 \
  -v ./mosquitto/data:/mosquitto/data \  # 持久化消息数据
  -v ./mosquitto/log:/mosquitto/log \    # 持久化日志
  greenbone/mosquitto

• 说明：通过挂载本地目录实现数据和日志持久化，避免容器重启后数据丢失。

4.1.3 启用 TLS 加密（生产环境推荐）

bash
docker run -d \
  --name greenbone-mosquitto \
  -p 8883:8883 \                        # TLS 加密端口
  -v ./mosquitto/config:/mosquitto/config \  # 挂载包含 TLS 配置的目录
  -v ./mosquitto/certs:/mosquitto/certs \    # 挂载 TLS 证书（ca.crt, server.crt, server.key）
  -v ./mosquitto/data:/mosquitto/data \
  -v ./mosquitto/log:/mosquitto/log \
  greenbone/mosquitto

• 前提：./mosquitto/config/mosquitto.conf 需配置 TLS（示例见 4.3 节）。

4.2 Docker Compose 部署（推荐）

创建 docker-compose.yml：

yaml
version: '3'
services:
  greenbone-mosquitto:
    image: greenbone/mosquitto
    container_name: greenbone-mosquitto
    ports:
      - "1883:1883"   # 未加密端口（可选，仅开发环境）
      - "8883:8883"   # TLS 加密端口（生产环境必选）
    volumes:
      - ./mosquitto/config:/mosquitto/config:ro  # 只读挂载配置目录
      - ./mosquitto/certs:/mosquitto/certs:ro    # 只读挂载证书目录
      - ./mosquitto/data:/mosquitto/data         # 持久化消息数据
      - ./mosquitto/log:/mosquitto/log           # 持久化日志
    restart: unless-stopped                      # 异常退出后自动重启

启动命令：docker-compose up -d

4.3 配置文件说明

Mosquitto 通过配置文件 mosquitto.conf 定义行为，默认路径为容器内 /etc/mosquitto/mosquitto.conf。建议通过挂载自定义配置文件覆盖默认配置。

4.3.1 基础配置示例（mosquitto.conf）

conf
# 基础网络配置
listener 1883 0.0.0.0  # 监听所有网卡的 1883 端口（未加密）
listener 8883 0.0.0.0  # 监听所有网卡的 8883 端口（TLS 加密）

# TLS 配置（生产环境必须）
cafile /mosquitto/certs/ca.crt       # CA 证书路径
certfile /mosquitto/certs/server.crt  # 服务端证书
keyfile /mosquitto/certs/server.key   # 服务端私钥
tls_version tlsv1.2                   # 支持的 TLS 版本

# 持久化配置
persistence true                     # 启用持久化
persistence_location /mosquitto/data/ # 持久化数据路径
log_dest file /mosquitto/log/mosquitto.log  # 日志文件路径
log_type all                         # 记录所有日志类型
log_timestamp true                   # 日志带时间戳

4.4 环境变量配置

示例：启用基础认证

bash
docker run -d \
  --name greenbone-mosquitto \
  -p 1883:1883 \
  -e MQTT_USER=greenbone \
  -e MQTT_PASSWORD=secure_password \
  greenbone/mosquitto

5. 注意事项

• 安全最佳实践：生产环境必须启用 TLS 加密（端口 8883）并配置认证（用户名/密码或证书认证），避免明文传输和未授权访问。
• 配置文件权限：挂载自定义配置文件时，确保宿主机文件权限正确（容器内运行用户通常为 mosquitto，UID/GID 为 1883）。
• Greenbone 版本兼容性：需与 Greenbone Community Edition 其他组件版本匹配，具体参考 Greenbone ***文档。
• 性能调优：高并发场景下，可通过配置文件调整 max_inflight_messages、max_queued_messages 等参数优化性能。

6. 参考链接

• Greenbone Community Container ***文档
• Eclipse Mosquitto ***文档
• MQTT 协议规范