spiped Docker 镜像 - 轩辕镜像

spiped Docker镜像技术文档

1. 镜像概述与主要用途

spiped（发音为"ess-pipe-dee"）是一款用于在 socket 地址之间创建对称加密和认证管道的工具。通过 spiped，用户可连接到一个地址（如本地 UNIX socket），并透明地建立与另一个地址（如远程系统的 UNIX socket）的加密连接。其功能类似 ssh -L 的端口转发，但无需依赖 SSH，仅需预共享对称密钥。

该 Docker 镜像封装了 spiped 工具，提供轻量级、跨平台的加密通信转发能力，适用于需要安全传输数据的各类网络服务场景。

2. 核心功能与特性

• 对称加密与认证：基于预共享密钥实现数据加密和完整性校验，确保传输安全
• 跨 socket 转发：支持 TCP 端口与 UNIX socket 之间的透明转发
• 轻量级设计：无复杂依赖，资源占用低，适合嵌入式和容器化环境
• 灵活模式：支持加密模式（-e）和解密模式（-d），满足不同转发需求
• 多架构支持：兼容 amd64、arm32v5/6/7、arm64v8、i386 等多种硬件架构
• 安全运行选项：可配置为非特权用户运行，降低容器权限风险

3. 使用场景与适用范围

• 数据库加密转发：加密本地应用与远程数据库（如 MySQL、PostgreSQL）之间的通信
• 跨主机服务通信：保护分布式系统中服务间的明文传输（如 Elasticsearch、Redis）
• 本地服务加密暴露：将内部服务通过加密通道暴露到外部网络，避免直接暴露敏感端口
• 容器间安全通信：在 Docker 网络中为无加密机制的服务（如 HTTP 服务）添加传输加密层

4. 详细使用方法与配置说明

4.1 镜像拉取

拉取最新版镜像：

bash
docker pull spiped:latest

拉取特定版本（如 Alpine 变体）：

bash
docker pull spiped:1.6.4-alpine

4.2 生成密钥

spiped 依赖预共享对称密钥，可通过以下命令生成密钥文件（保存至 /path/to/keyfile/ 目录）：

bash
docker run -it --rm -v /path/to/keyfile:/spiped/key spiped spiped-generate-key.sh

生成的密钥文件需通过安全渠道（如 scp）传输至通信双方。

4.3 基本运行参数

容器默认从 /spiped/key 读取密钥（需通过挂载提供），并支持 spiped 原生参数。运行容器无参数时可查看帮助：

bash
docker run -it --rm spiped

输出的参数说明：

usage: spiped {-e | -d} -s <source socket> -t <target socket> -k <key file>
    [-DFj] [-f | -g] [-n <max # connections>] [-o <connection timeout>]
    [-p <pidfile>] [-r <rtime> | -R]

核心参数说明：

• -e：加密模式（将源地址流量加密后转发至目标地址）
• -d：解密模式（接收加密流量并解密后转发至目标地址）
• -s <source socket>：源 socket 地址（格式：[IP]:端口 或 unix:路径）
• -t <target socket>：目标 socket 地址（格式同上）
• -k <key file>：密钥文件路径（容器内固定为 /spiped/key）
• -D：前台运行（容器默认启用）
• -F：强制关闭已建立连接（容器默认启用）

4.4 使用示例

4.4.1 本地端口解密转发

将加密连接（端口 8025）解密后转发至本地 25 端口（如邮件服务）：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \  # 只读挂载密钥文件
  -p 8025:8025 \                         # 映射加密端口
  --init \                               # 启用 init 进程处理信号
  spiped -d -s '[0.0.0.0]:8025' -t '[127.0.0.1]:25'

4.4.2 与其他容器联动

将加密连接（端口 9200）解密后转发至名为 elasticsearch 的容器 9200 端口：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \    # 链接目标容器
  --init \
  spiped -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

4.4.3 非特权用户运行

若无需绑定特权端口（<1024），可指定 --user spiped 以非特权用户运行，增强安全性：

bash
docker run -d \
  -v /path/to/keyfile:/spiped/key:ro \
  --user spiped \                        # 切换为非特权用户
  -p 9200:9200 \
  --link elasticsearch:elasticsearch \
  --init \
  spiped -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

4.5 Docker Compose 示例

以下为加密转发 Elasticsearch 服务的 docker-compose.yml 配置：

yaml
version: '3'
services:
  spiped:
    image: spiped:latest
    volumes:
      - /path/to/keyfile:/spiped/key:ro  # 挂载密钥文件
    ports:
      - "9200:9200"                      # 加密端口映射
    links:
      - elasticsearch:elasticsearch      # 链接目标服务
    user: spiped                         # 非特权用户运行
    init: true                           # 启用 init 进程
    command: -d -s '[0.0.0.0]:9200' -t 'elasticsearch:9200'

  elasticsearch:
    image: elasticsearch:8.10.4
    environment:
      - discovery.type=single-node

5. 支持的标签及对应 Dockerfile

6. 镜像变体

6.1 spiped:<version>（标准版）

基于 Debian 基础镜像，包含完整的系统工具链，适用于大多数场景。作为默认镜像，兼容性好，适合作为基础镜像或直接运行。

6.2 spiped:<version>-alpine（Alpine 版）

基于 Alpine Linux 构建，镜像体积极小（约 5MB 基础镜像），适合对镜像大小敏感的场景。需注意：

• 使用 musl libc 替代 glibc，部分依赖 glibc 的应用可能存在兼容性问题
• 不包含额外系统工具（如 bash、git），需在 Dockerfile 中自行安装依赖

7. 维护与支持

7.1 维护者

• Tim Düsterhus（Docker 社区）：GitHub
• Colin Percival（spiped 上游作者）：支持说明

7.2 问题反馈

• 提交 issue：GitHub Issues

7.3 支持架构

• amd64：amd64/spiped
• arm32v5：arm32v5/spiped
• arm32v6：arm32v6/spiped
• arm32v7：arm32v7/spiped
• arm64v8：arm64v8/spiped
• i386：i386/spiped
• ppc64le：ppc64le/spiped
• riscv64：riscv64/spiped
• s390x：s390x/spiped

7.4 镜像更新

• 官方镜像更新跟踪：library/spiped 标签
• 镜像定义文件：library/spiped（含更新历史）

8. 许可证

• 软件许可证：spiped 版权信息
• 镜像包含的其他软件（如基础镜像组件）可能具有独立许可证，用户需自行确保合规使用。
• 镜像元数据及许可证详情：repo-info/spiped