百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

群晖无法拉取Docker镜像?最稳定的方法:搭建自己的加速服务!

nanshan 2025-04-01 20:56 9 浏览 0 评论

因为未知的原因,国内的各大 DockerHub 镜像服务器无法使用,导致在使用群晖时无法拉取镜像构建容器。

网上大部分的镜像加速服务都是通过 Cloudflare(CF) 搭建的,为什么都选它呢?因为 Cloudflare 提供了很多的免费服务,包括CDN加速、DNS解析、DDoS防护、访问规则、Workers等等。

老宁最开始也是通过CF为大家提供了免费镜像加速服务,不过为了账户安全,老宁在不久后便停止了服务(流量太大)。

这段时间很多粉丝问拉取镜像的问题,所以老宁今天就把 Workers 搭建的详细过程分享出来。通过在群晖上配置加速服务地址,就可以通过 Container Manager 或命令行方便地构建自己喜欢的容器了。

如果想拥有一个稳定的 Docker 加速服务,老宁强烈建议自己搭建!

Workers

Cloudflare Workers 是一种运行在 Cloudflare 全球网络边缘的轻量级、高性能的计算服务。开发者可以使用它来运行 JavaScript 代码,处理 HTTP 请求、修改响应或执行其他脚本任务,而无需管理服务器。

Cloudflare 的 Workers 每天为免费用户提供10万次请求。

前提

  • Cloudflare 账号
  • 域名(Worker 自带的域名无法访问,所以需要单独的域名)
  • 域名托管到了 Cloudflare

部署

打开 Cloudflare 仪表盘
https://dash.cloudflare.com/,在 Workers 和 Pages 选项卡中点击创建 Worker按钮。

首先需要部署默认的worker才能对其进行修改。

再点击编辑代码,对worker代码进行修改。

接下来在worker中配置加速代码。打开 Github 项目
https://github.com/cmliu/CF-Workers-docker.io,把_worker.js文件中的代码复制粘贴到 Cloudflare 的编辑器中。(需覆盖原来的代码)

// _worker.js

// Docker镜像仓库主机地址
let hub_host = 'registry-1.docker.io';
// Docker认证服务器地址
const auth_url = 'https://auth.docker.io';
// 自定义的工作服务器地址
let workers_url = 'https://xxx/';

let 屏蔽爬虫UA = ['netcraft'];

// 根据主机名选择对应的上游地址
function routeByHosts(host) {
 // 定义路由表
 const routes = {
  // 生产环境
  "quay": "quay.io",
  "gcr": "gcr.io",
  "k8s-gcr": "k8s.gcr.io",
  "k8s": "registry.k8s.io",
  "ghcr": "ghcr.io",
  "cloudsmith": "docker.cloudsmith.io",
  "nvcr": "nvcr.io",
  
  // 测试环境
  "test": "registry-1.docker.io",
 };

 if (host in routes) return [ routes[host], false ];
 else return [ hub_host, true ];
}

/** @type {RequestInit} */
const PREFLIGHT_INIT = {
 // 预检请求配置
 headers: new Headers({
  'access-control-allow-origin': '*', // 允许所有来源
  'access-control-allow-methods': 'GET,POST,PUT,PATCH,TRACE,DELETE,HEAD,OPTIONS', // 允许的HTTP方法
  'access-control-max-age': '1728000', // 预检请求的缓存时间
 }),
}

/**
 * 构造响应
 * @param {any} body 响应体
 * @param {number} status 响应状态码
 * @param {Object} headers 响应头
 */
function makeRes(body, status = 200, headers = {}) {
 headers['access-control-allow-origin'] = '*' // 允许所有来源
 return new Response(body, { status, headers }) // 返回新构造的响应
}

/**
 * 构造新的URL对象
 * @param {string} urlStr URL字符串
 */
function newUrl(urlStr) {
 try {
  return new URL(urlStr) // 尝试构造新的URL对象
 } catch (err) {
  return null // 构造失败返回null
 }
}

function isUUID(uuid) {
 // 定义一个正则表达式来匹配 UUID 格式
 const uuidRegex = /^[0-9a-f]{8}-[0-9a-f]{4}-[4][0-9a-f]{3}-[89ab][0-9a-f]{3}-[0-9a-f]{12}$/i;
 
 // 使用正则表达式测试 UUID 字符串
 return uuidRegex.test(uuid);
}

async function nginx() {
 const text = `
 
 
 
 Welcome to nginx!
 
 
 
 
Welcome to nginx!

 
If you see this page, the nginx web server is successfully installed and
 working. Further configuration is required.

 
 
For online documentation and support please refer to
 nginx.org.

 Commercial support is available at
 nginx.com.

 
 
Thank you for using nginx.

 
 
 `
 return text;
}

async function searchInterface() {
 const text = `
 
 
 
  Docker Hub Search
  
 
 
  
  

  
  
  

  <script>
  function performSearch() {
   const query = document.getElementById('search-input').value;
   if (query) {
   window.location.href = '/search?q=' + encodeURIComponent(query);
   }
  }
 
  document.getElementById('search-button').addEventListener('click', performSearch);
  document.getElementById('search-input').addEventListener('keypress', function(event) {
   if (event.key === 'Enter') {
   performSearch();
   }
  });
  </script>
 
 
 `;
 return text;
}

export default {
 async fetch(request, env, ctx) {
  const getReqHeader = (key) => request.headers.get(key); // 获取请求头

  let url = new URL(request.url); // 解析请求URL
  const userAgentHeader = request.headers.get('User-Agent');
  const userAgent = userAgentHeader ? userAgentHeader.toLowerCase() : "null";
  if (env.UA) 屏蔽爬虫UA = 屏蔽爬虫UA.concat(await ADD(env.UA));
  workers_url = `https://${url.hostname}`;
  const pathname = url.pathname;

  // 获取请求参数中的 ns
  const ns = url.searchParams.get('ns'); 
  const hostname = url.searchParams.get('hubhost') || url.hostname;
  const hostTop = hostname.split('.')[0]; // 获取主机名的第一部分

  let checkHost; // 在这里定义 checkHost 变量
  // 如果存在 ns 参数,优先使用它来确定 hub_host
  if (ns) {
   if (ns === 'docker.io') {
    hub_host = 'registry-1.docker.io'; // 设置上游地址为 registry-1.docker.io
   } else {
    hub_host = ns; // 直接使用 ns 作为 hub_host
   }
  } else {
   checkHost = routeByHosts(hostTop);
   hub_host = checkHost[0]; // 获取上游地址
  }

  const fakePage = checkHost ? checkHost[1] : false; // 确保 fakePage 不为 undefined
  console.log(`域名头部: ${hostTop}\n反代地址: ${hub_host}\n伪装首页: ${fakePage}`);
  const isUuid = isUUID(pathname.split('/')[1].split('/')[0]);

  if (屏蔽爬虫UA.some(fxxk => userAgent.includes(fxxk)) && 屏蔽爬虫UA.length > 0) {
   // 首页改成一个nginx伪装页
   return new Response(await nginx(), {
    headers: {
     'Content-Type': 'text/html; charset=UTF-8',
    },
   });
  }

  const conditions = [
   isUuid,
   pathname.includes('/_'),
   pathname.includes('/r/'),
   pathname.includes('/v2/repositories'),
   pathname.includes('/v2/user'),
   pathname.includes('/v2/orgs'),
   pathname.includes('/v2/_catalog'),
   pathname.includes('/v2/categories'),
   pathname.includes('/v2/feature-flags'),
   pathname.includes('search'),
   pathname.includes('source'),
   pathname == '/',
   pathname == '/favicon.ico',
   pathname == '/auth/profile',
  ];

  if (conditions.some(condition => condition) && (fakePage === true || hostTop == 'docker')) {
   if (env.URL302) {
    return Response.redirect(env.URL302, 302);
   } else if (env.URL) {
    if (env.URL.toLowerCase() == 'nginx') {
     //首页改成一个nginx伪装页
     return new Response(await nginx(), {
      headers: {
       'Content-Type': 'text/html; charset=UTF-8',
      },
     });
    } else return fetch(new Request(env.URL, request));
   } else if (url.pathname == '/'){
    return new Response(await searchInterface(), {
     headers: {
       'Content-Type': 'text/html; charset=UTF-8',
     },
    });
   }
   
   const newUrl = new URL("https://registry.hub.docker.com" + pathname + url.search);

   // 复制原始请求的标头
   const headers = new Headers(request.headers);

   // 确保 Host 头部被替换为 hub.docker.com
   headers.set('Host', 'registry.hub.docker.com');

   const newRequest = new Request(newUrl, {
     method: request.method,
     headers: headers,
     body: request.method !== 'GET' && request.method !== 'HEAD' ? await request.blob() : null,
     redirect: 'follow'
   });

   return fetch(newRequest);
  }

  // 修改包含 %2F 和 %3A 的请求
  if (!/%2F/.test(url.search) && /%3A/.test(url.toString())) {
   let modifiedUrl = url.toString().replace(/%3A(?=.*?&)/, '%3Alibrary%2F');
   url = new URL(modifiedUrl);
   console.log(`handle_url: ${url}`);
  }

  // 处理token请求
  if (url.pathname.includes('/token')) {
   let token_parameter = {
    headers: {
     'Host': 'auth.docker.io',
     'User-Agent': getReqHeader("User-Agent"),
     'Accept': getReqHeader("Accept"),
     'Accept-Language': getReqHeader("Accept-Language"),
     'Accept-Encoding': getReqHeader("Accept-Encoding"),
     'Connection': 'keep-alive',
     'Cache-Control': 'max-age=0'
    }
   };
   let token_url = auth_url + url.pathname + url.search;
   return fetch(new Request(token_url, request), token_parameter);
  }

  // 修改 /v2/ 请求路径
  if ( hub_host == 'registry-1.docker.io' && /^\/v2\/[^/]+\/[^/]+\/[^/]+$/.test(url.pathname) && !/^\/v2\/library/.test(url.pathname)) {
   //url.pathname = url.pathname.replace(/\/v2\//, '/v2/library/');
   url.pathname = '/v2/library/' + url.pathname.split('/v2/')[1];
   console.log(`modified_url: ${url.pathname}`);
  }

  // 更改请求的主机名
  url.hostname = hub_host;

  // 构造请求参数
  let parameter = {
   headers: {
    'Host': hub_host,
    'User-Agent': getReqHeader("User-Agent"),
    'Accept': getReqHeader("Accept"),
    'Accept-Language': getReqHeader("Accept-Language"),
    'Accept-Encoding': getReqHeader("Accept-Encoding"),
    'Connection': 'keep-alive',
    'Cache-Control': 'max-age=0'
   },
   cacheTtl: 3600 // 缓存时间
  };

  // 添加Authorization头
  if (request.headers.has("Authorization")) {
   parameter.headers.Authorization = getReqHeader("Authorization");
  }

  // 发起请求并处理响应
  let original_response = await fetch(new Request(url, request), parameter);
  let original_response_clone = original_response.clone();
  let original_text = original_response_clone.body;
  let response_headers = original_response.headers;
  let new_response_headers = new Headers(response_headers);
  let status = original_response.status;

  // 修改 Www-Authenticate 头
  if (new_response_headers.get("Www-Authenticate")) {
   let auth = new_response_headers.get("Www-Authenticate");
   let re = new RegExp(auth_url, 'g');
   new_response_headers.set("Www-Authenticate", response_headers.get("Www-Authenticate").replace(re, workers_url));
  }

  // 处理重定向
  if (new_response_headers.get("Location")) {
   return httpHandler(request, new_response_headers.get("Location"));
  }

  // 返回修改后的响应
  let response = new Response(original_text, {
   status,
   headers: new_response_headers
  });
  return response;
 }
};

/**
 * 处理HTTP请求
 * @param {Request} req 请求对象
 * @param {string} pathname 请求路径
 */
function httpHandler(req, pathname) {
 const reqHdrRaw = req.headers;

 // 处理预检请求
 if (req.method === 'OPTIONS' &&
  reqHdrRaw.has('access-control-request-headers')
 ) {
  return new Response(null, PREFLIGHT_INIT);
 }

 let rawLen = '';

 const reqHdrNew = new Headers(reqHdrRaw);

 const refer = reqHdrNew.get('referer');

 let urlStr = pathname;

 const urlObj = newUrl(urlStr);

 /** @type {RequestInit} */
 const reqInit = {
  method: req.method,
  headers: reqHdrNew,
  redirect: 'follow',
  body: req.body
 };
 return proxy(urlObj, reqInit, rawLen);
}

/**
 * 代理请求
 * @param {URL} urlObj URL对象
 * @param {RequestInit} reqInit 请求初始化对象
 * @param {string} rawLen 原始长度
 */
async function proxy(urlObj, reqInit, rawLen) {
 const res = await fetch(urlObj.href, reqInit);
 const resHdrOld = res.headers;
 const resHdrNew = new Headers(resHdrOld);

 // 验证长度
 if (rawLen) {
  const newLen = resHdrOld.get('content-length') || '';
  const badLen = (rawLen !== newLen);

  if (badLen) {
   return makeRes(res.body, 400, {
    '--error': `bad len: ${newLen}, except: ${rawLen}`,
    'access-control-expose-headers': '--error',
   });
  }
 }
 const status = res.status;
 resHdrNew.set('access-control-expose-headers', '*');
 resHdrNew.set('access-control-allow-origin', '*');
 resHdrNew.set('Cache-Control', 'max-age=1500');

 // 删除不必要的头
 resHdrNew.delete('content-security-policy');
 resHdrNew.delete('content-security-policy-report-only');
 resHdrNew.delete('clear-site-data');

 return new Response(res.body, {
  status,
  headers: resHdrNew
 });
}

async function ADD(envadd) {
 var addtext = envadd.replace(/[  |"'\r\n]+/g, ',').replace(/,+/g, ','); // 将空格、双引号、单引号和换行符替换为逗号
 if (addtext.charAt(0) == ',') addtext = addtext.slice(1);
 if (addtext.charAt(addtext.length - 1) == ',') addtext = addtext.slice(0, addtext.length - 1);
 const add = addtext.split(',');
 return add;
}

粘贴完毕后,把第8行url地址修改为自己的域名地址(域名为绑定到CF的域名,前缀任意)。

修改完毕后需要点击右上角的部署按钮进行部署。

部署成功后打开设置->域和路由->添加,新增一个路由。区域选择域名,路由输入前面在worker中配置的域名,域名后需加上/*。(可以先在这里配置好了再去修改脚本的域名)

回到 Cloudflare 主页,点击网站进入域名相关设置。

在DNS中新增一条A记录,名称为前面设置的域名前缀,可以设置为任意IP(2.2.2.2)。注意这里小云朵(代理)一定要打开。

稍等片刻,在浏览器中输入域名,出现以下界面就代表加速服务配置成功。

群晖配置

加速服务搭建完毕后再来看看如何在群晖上使用。

打开群晖 Container Manger 套件,编辑 Docker Hub(v1) 注册表。

勾选启用注册表镜像,粘贴CF设置的域名至输入框,再点击应用

现在可以直接在 Container Manager 的项目中通过compose 拉取镜像并构建容器。

在注册表中任然无法加载(应该可以通过修改脚本解决)。

当然也可以使用命令行拉取镜像。在群晖中建议使用第一种方法,一键设置加速地址不适用于群晖。

我是老宁

一个热爱技术的程序员和极客,群晖NAS深度玩家!

专注NAS相关技术分享,原创!干货!

觉得老宁的文章对你有帮助,记得点赞、收藏、加关注

相关推荐

F5负载均衡器如何通过irules实现应用的灵活转发?

F5是非常强大的商业负载均衡器。除了处理性能强劲,以及高稳定性之外,F5还可以通过irules编写强大灵活的转发规则,实现web业务的灵活应用。irules是基于TCL语法的,每个iRules必须包含...

映射域名到NAS

前面介绍已经将域名映射到家庭路由器上,现在只需要在路由器上设置一下端口转发即可。假设NAS在内网的IP是192.168.1.100,NAS管理端口2000.你的域名是www.xxx.com,配置外部端...

转发(Forward)和重定向(Redirect)的区别

转发是服务器行为,重定向是客户端行为。转发(Forward)通过RequestDispatcher对象的forward(HttpServletRequestrequest,HttpServletRe...

SpringBoot应用中使用拦截器实现路由转发

1、背景项目中有一个SpringBoot开发的微服务,经过业务多年的演进,代码已经累积到令人恐怖的规模,亟需重构,将之拆解成多个微服务。该微服务的接口庞大,调用关系非常复杂,且实施重构的人员大部分不是...

公司想搭建个网站,网站如何进行域名解析?

域名解析是将域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一种服务。IP地址是网络上标识站点的数字地址,为方便记忆,采用域名来代替IP地址标识站点地址。域名解析就是域名到IP地址的转...

域名和IP地址什么关系?如何通过域名解析IP?

一般情况下,访客通过域名和IP地址都能访问到网站,那么两者之间有什么关系吗?本文中科三方针对域名和IP地址的关系和区别,以及如何实现域名与IP的绑定做下介绍。域名与IP地址之间的关系IP地址是计算机的...

分享网站域名301重定向的知识

网站域名做301重定向操作时,一般需要由专业的技术来协助完成,如果用户自己在维护,可以按照相应的说明进行操作。好了,下面说说重点,域名301重定向的操作步骤。首先,根据HTTP协议,在客户端向服务器发...

NAS外网到底安全吗?一文看懂HTTP/HTTPS和SSL证书

本内容来源于@什么值得买APP,观点仅代表作者本人|作者:可爱的小cherry搭好了NAS,但是不懂做好网络加密,那么隐私泄露也会随时发生!大家好,这里是Cherry,喜爱折腾、玩数码,热衷于分享数...

ForwardEmail免费、开源、加密的邮件转发服务

ForwardEmail是一款免费、加密和开源的邮件转发服务,设置简单只需4步即可正常使用,通过测试来看也要比ImprovMX好得多,转发近乎秒到且未进入垃圾箱(仅以Mailbox.org发送、Out...

使用CloudFlare进行域名重定向

当网站变更域名的时候,经常会使用域名重定向的方式,将老域名指向到新域名,这通常叫做:URL转发(URLFORWARDING),善于使用URL转发,对SEO来说非常有用,因为用这种方式能明确告知搜索引...

要将端口5002和5003通过Nginx代理到一个域名上的操作笔记

要将端口5002和5003通过Nginx代理到域名www.4rvi.cn的不同路径下,请按照以下步骤配置Nginx:步骤说明创建或编辑Nginx配置文件通常配置文件位于/etc/nginx/sites...

SEO浅谈:网站域名重定向的三种方式

在大多数情况下,我们输入网站访问网站的时候,很难发现www.***.com和***.com的区别,因为一般的网站主,都会把这两个域名指向到同一网站。但是对于网站运营和优化来说,www.***.com和...

花生壳出现诊断域名与转发服务器ip不一致的解决办法

出现诊断域名与转发服务器ip不一致您可以:1、更改客户端所处主机的drs为223.5.5.5备用dns为119.29.29.29;2、在windows上进入命令提示符输入ipconfig/flush...

涨知识了!带你认识什么是域名

1、什么是域名从技术角度来看,域名是在Internet上解决IP地址对应的一种方法。一个完整的域名由两个或两个以上部分组成,各部分之间用英文的句号“.”来分隔。如“abc.com”。其中“com”称...

域名被跳转到其他网站是怎么回事

当你输入域名时被跳转到另一个网站,这可能是由几种原因造成的:一、域名可能配置了域名转发服务。无论何时有人访问域名,比如.com、.top等,都会自动重定向到另一个指定的URL,这通常是在域名注册商设...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表