webhookrelay/transponder Docker 镜像 - 轩辕镜像
webhookrelay/transponder独立的Webhook中继服务器,用于转发Webhook请求,支持独立部署且无需依赖外部服务。
0 次下载
Webhook Relay Server 镜像文档
一、镜像概述和主要用途
Webhook Relay Server 是一个独立部署的轻量级 Webhook 转发服务,旨在解决跨网络环境下的 Webhook 通信问题。其核心功能是接收来自源端的 Webhook 请求,经过简单处理(如验证、过滤)后,转发至目标服务端点。
主要用途:
- 实现内网服务接收公网 Webhook(替代复杂的内网穿透方案)
- 聚合多源 Webhook 请求并统一转发至后端服务
- 对 Webhook 请求进行安全验证(如 token 校验、IP 过滤)
- 简化跨域或跨网络环境的 Webhook 通信链路
二、核心功能和特性
- 轻量级部署:独立容器化运行,无外部依赖(如数据库、消息队列),资源占用低
- 灵活转发规则:支持单目标转发、多路径路由(不同请求路径转发至不同目标)
- 安全验证:内置请求签名验证(支持 HMAC、Bearer Token)、IP 白名单过滤
- 协议兼容性:支持 HTTP/HTTPS 协议(可配置自签名证书或权威证书)
- 日志与监控:输出结构化日志(JSON 格式),支持请求耗时、状态码等关键指标记录
- 高可用性:支持水平扩展(多实例负载均衡),无状态设计确保集群一致性
三、使用场景和适用范围
典型场景
-
内网服务接收公网 Webhook
- 场景:本地开发环境或内网服务(如 Jenkins、GitLab Runner)需接收来自 GitHub、GitLab 等公网平台的 Webhook
- 解决:通过公网部署的 Relay Server 接收请求,转发至内网服务
-
多源 Webhook 聚合
- 场景:前端应用需接收来自支付平台(如 Stripe)、消息通知(如 Slack)、代码仓库(如 GitHub)的多类 Webhook
- 解决:通过 Relay Server 统一入口接收,按路径路由至后端不同处理服务
-
Webhook 安全加固
- 场景:暴露公网的 Webhook 端点需防止***请求或伪造签名
- 解决:Relay Server 前置验证(如校验 GitHub 签名、过滤非白名单 IP),仅转发合法请求
-
跨网络环境转发
- 场景:跨 VPC、跨云厂商的服务间 Webhook 通信(如阿里云服务转发至 AWS 服务)
- 解决:通过 Relay Server 作为中间节点,简化网络策略配置
四、使用方法和配置说明
4.1 快速启动(Docker Run)
通过 docker run 命令可快速部署单实例服务,示例如下:
bashdocker run -d \ --name webhook-relay \ -p 8080:8080 \ # 映射容器端口到主机 -e LISTEN_PORT=8080 \ # 容器内监听端口 -e TARGET_DEFAULT=[***] \ # 默认转发目标(必填) -e AUTH_TOKEN=your-relay-token-123 \ # 源端请求验证 Token(可选,建议配置) -e LOG_LEVEL=info \ # 日志级别(debug/info/warn/error,默认 info) webhook-relay-server:latest
4.2 Docker Compose 配置
对于多实例或需持久化配置的场景,推荐使用 docker-compose.yml 管理:
yamlversion: "3.8" services: webhook-relay: image: webhook-relay-server:latest container_name: webhook-relay restart: always # 异常退出自动重启 ports: - "8080:8080" # HTTP 端口 - "8443:8443" # HTTPS 端口(如需启用) environment: - LISTEN_PORT=8080 - LISTEN_SSL_PORT=8443 # 启用 HTTPS 时需配置 - TARGET_DEFAULT=[***] # 默认转发目标 - AUTH_TOKEN=your-relay-token-123 # 全局请求验证 Token - IP_WHITELIST=192.168.1.0/24,10.0.0.1 # 允许的请求源 IP 白名单(可选) - SSL_CERT_PATH=/etc/relay/cert.pem # SSL 证书路径(挂载外部证书) - SSL_KEY_PATH=/etc/relay/key.pem # SSL 私钥路径 volumes: - ./relay-config:/etc/relay # 挂载证书或自定义路由配置文件 networks: - backend-network # 接入后端服务所在网络(如需直接通信) networks: backend-network: external: true # 假设后端服务已在该网络中
4.3 核心配置参数(环境变量)
| 参数名 | 说明 | 默认值 | 是否必填 |
|---|---|---|---|
LISTEN_PORT | 服务监听的 HTTP 端口 | 8080 | 否 |
LISTEN_SSL_PORT | 服务监听的 HTTPS 端口(未配置则不启用 HTTPS) | - | 否 |
TARGET_DEFAULT | 默认转发目标 URL(所有未匹配自定义路由的请求将转发至此) | - | 是 |
AUTH_TOKEN | 全局请求验证 Token(源端需在 Header 中携带 X-Relay-Token: <token>) | - | 否 |
IP_WHITELIST | 请求源 IP 白名单(逗号分隔,支持 CIDR 格式,如 192.168.1.0/24) | 允许所有 IP | 否 |
LOG_LEVEL | 日志级别(debug/info/warn/error) | info | 否 |
SSL_CERT_PATH | SSL 证书文件路径(需通过 volume 挂载,与 LISTEN_SSL_PORT 配合使用) | - | 否 |
SSL_KEY_PATH | SSL 私钥文件路径(同上) | - | 否 |
ROUTE_CONFIG_PATH | 自定义路由配置文件路径(JSON/YAML 格式,支持多路径路由) | - | 否 |
4.4 自定义路由配置(高级功能)
如需按请求路径转发至不同目标(如 /github 转发至 GitHub 处理服务,/slack 转发至 Slack 通知服务),可通过配置文件实现。
配置文件格式(YAML 示例,route.yaml):
yamlroutes: - path: "/github" # 请求路径匹配(前缀匹配,如 `/github/webhook` 也会命中) target: "[***]" # 目标服务 URL auth_token: "github-specific-token" # 该路由独立的验证 Token(覆盖全局 AUTH_TOKEN) timeout: 5000 # 转发超时时间(毫秒),默认 3000 - path: "/slack" target: "[***]" ip_whitelist: "35.190.247.0/24" # 该路由独立的 IP 白名单(覆盖全局 IP_WHITELIST)
挂载配置文件:
在 docker run 或 docker-compose 中添加挂载:
bash# Docker Run 示例 docker run -d \ -v ./route.yaml:/etc/relay/route.yaml \ # 挂载路由配置文件 -e ROUTE_CONFIG_PATH=/etc/relay/route.yaml \ # 指定配置文件路径 ...(其他参数同上)
4.5 请求验证机制
1. Token 验证
- 源端需在请求 Header 中携带
X-Relay-Token: <token>,服务端验证与配置的AUTH_TOKEN(或路由独立auth_token)一致则允许转发。 - 未携带或验证失败时,返回
401 Unauthorized。
2. IP 白名单验证
- 仅允许
IP_WHITELIST(或路由独立ip_whitelist)中指定的 IP 地址/网段请求,其他来源返回403 Forbidden。
五、使用示例
示例 1:内网服务接收 GitHub Webhook
场景:本地 Jenkins 服务(内网 IP:192.168.1.100:8080)需接收 GitHub Webhook。
部署步骤:
- 在公网服务器部署 Relay Server:
bash
docker run -d \ --name github-relay \ -p 80:8080 \ # 公网 80 端口映射到容器 8080 -e TARGET_DEFAULT=[***] \ # 转发至内网 Jenkins -e AUTH_TOKEN=github-webhook-secret-xxx \ # 与 GitHub Webhook 配置的 Secret 一致 webhook-relay-server:latest - 在 GitHub 仓库 Webhook 配置中,设置 Payload URL 为
[***],Secret 为github-webhook-secret-xxx。
示例 2:多路径路由转发
场景:需将 /github 转发至 A 服务,/slack 转发至 B 服务。
配置文件(route.yaml):
yamlroutes: - path: "/github" target: "[***]" auth_token: "token-for-a" - path: "/slack" target: "[***]" auth_token: "token-for-b"
启动命令:
bashdocker run -d \ -v ./route.yaml:/etc/relay/route.yaml \ -e ROUTE_CONFIG_PATH=/etc/relay/route.yaml \ -e LISTEN_PORT=8080 \ -p 8080:8080 \ webhook-relay-server:latest
六、注意事项
- HTTPS 配置:如需启用 HTTPS,需确保挂载的证书和私钥文件权限正确(容器内用户需可读,建议权限
600)。 - 性能与扩展:单实例支持 QPS 约 1000+(取决于请求大小和转发目标响应速度),高并发场景可通过负载均衡器部署多实例。
- 日志排查:通过
docker logs <容器名>查看实时日志,debug级别可输出详细请求/响应信息(生产环境建议使用info)。 - 安全建议:生产环境务必配置
AUTH_TOKEN和IP_WHITELIST,避免服务被***滥用。
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
MacOS OrbStack
MacOS OrbStack 容器配置
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"
咨询镜像拉取问题请 提交工单,官方技术交流群:1072982923
轩辕镜像面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何镜像内容。