mvance/unbound Docker 镜像 - 轩辕镜像

Unbound DNS Server Docker镜像文档

镜像概述和主要用途

Unbound是一款验证性、递归式和缓存式DNS解析器。本Docker镜像封装了Unbound服务，提供便捷的DNS服务器部署方案，适用于需要本地DNS解析、缓存优化或自定义域名解析的场景。

支持的标签及对应Dockerfile链接

• 1.12.0, latest (1.12.0/Dockerfile)
• 1.11.0 (1.11.0/Dockerfile)
• 1.10.1 (1.10.1/Dockerfile)

核心功能与特性

• 验证性解析：支持DNSSEC验证，确保域名解析结果的完整性和真实性。
• 递归解析：可直接向根域名服务器发起查询，无需依赖第三方DNS服务。
• 缓存机制：缓存解析结果，减少重复查询，提升解析效率。
• 自定义记录：支持本地网络自定义A记录和PTR记录，实现局域网内域名解析（如laptop.local）。
• 灵活配置：支持挂载自定义配置文件或目录，满足个性化需求。
• 安全优化：默认配置启用安全选项，遵循最佳实践。

使用场景与适用范围

• 标准DNS服务器：作为本地网络或服务器的基础DNS解析服务。
• 本地网络自定义解析：为局域网内设备配置自定义域名（如printer.local），简化访问。
• DNS缓存优化：通过缓存减少外部DNS查询，提升解析速度并降低网络延迟。
• 安全强化：利用DNSSEC验证功能，防范DNS污染和欺骗***。
• 开发/测试环境：快速部署独立DNS服务，隔离测试环境与生产环境的DNS配置。

使用方法与配置说明

标准用法

通过以下命令启动基础DNS服务容器：

console
docker run --name my-unbound -d -p 53:53/udp -p 53:53/tcp \
--restart=always mvance/unbound:latest

关于--net=host的说明

对于存在大量短连接的DNS服务器，可考虑添加--net=host参数以提升性能，但需注意以下风险：

• 部分容器托管服务可能禁止此参数。
• --net=host会使容器直接使用主机网络，丧失网络隔离性，存在安全风险（如容器可能访问主机所有网络接口）。
• 依据CIS Docker 1.6基准，不建议使用此模式，因其可能导致意外行为（如关闭主机，参考Docker Issue #6401）。
• 安全最佳实践：避免在同一主机部署包含敏感数据的无关服务，此时--net=host的安全影响可降至最低。

本地网络自定义DNS记录

Unbound虽非完整的权威DNS服务器，但支持为小型私有局域网解析自定义记录（如your-computer.local）。需通过a-records.conf文件定义正向（A记录）和反向（PTR记录）解析规则。

a-records.conf文件格式

conf
# A记录（正向解析）
  #local-data: "somecomputer.local. A 192.168.1.1"  # 示例（已注释）
  local-data: "laptop.local. A 192.168.1.2"         # 笔记本的正向解析

# PTR记录（反向解析）
  #local-data-ptr: "192.168.1.1 somecomputer.local."  # 示例（已注释）
  local-data-ptr: "192.168.1.2 laptop.local."         # 笔记本的反向解析

启动容器（挂载自定义记录文件）

将本地a-records.conf文件挂载至容器：

console
docker run --name my-unbound -d -p 53:53/udp -v \
$(pwd)/a-records.conf:/opt/unbound/etc/unbound/a-records.conf:ro \
--restart=always mvance/unbound:latest

使用自定义Unbound配置

如需完全替换默认配置，可挂载自定义配置目录。假设本地配置目录为/my-directory/unbound（包含unbound.conf等文件），启动命令如下：

console
docker run --name=my-unbound \
--volume=/my-directory/unbound:/opt/unbound/etc/unbound/ \
--publish=53:53/tcp \
--publish=53:53/udp \
--restart=unless-stopped \
--detach=true \
mvance/unbound:latest

配置文件组织建议

• 可在unbound.conf中直接定义配置，或通过include指令引入其他文件（如分离本地 zone 配置）：

  conf
  include: /opt/unbound/etc/unbound/local-zone-unbound.conf  # 引入外部配置文件
  

• 典型配置目录结构示例：

  /my-directory/unbound/
  ├── unbound.conf           # 主配置文件
  ├── local-zone-unbound.conf  # 本地 zone 配置
  ├── secret-zone.conf       # 敏感 zone 配置（如有）
  └── some-other.conf        # 其他自定义配置
  

注意：镜像默认配置已启用安全优化，建议以其为参考编写自定义配置。

用户反馈

文档

• 本镜像文档存储于GitHub仓库README.md。
• Unbound官方文档见项目网站。

问题反馈

如遇镜像相关问题或疑问，请通过GitHub Issue联系维护者。

贡献指南

欢迎贡献新功能、修复或更新（大小不限）。建议先通过GitHub Issue讨论计划，避免重复工作或方向偏差。贡献前请先熟悉仓库README.md。

致谢

本镜像代码受以下项目启发，感谢相关上游项目的支持：

• Docker
• DNSCrypt server Docker image
• OpenSSL
• Unbound

许可证

本镜像许可证

除非另有说明，所有代码均以MIT许可证发布，详见仓库LICENSE文件。

依赖组件许可证

• Docker: Apache 2.0
• DNSCrypt server Docker image: ISC License
• LibreSSL: 多种许可证
• OpenSSL: Apache-style license
• Unbound: BSD License