Docker拉取鏡像代理配置實踐與經驗分享

一、背景概述

在企業內網環境中，我們部署了多臺用于測試與學習的服務器。近期，接到領導安排，需在其中一臺服務器上通過Docker安裝n8n應用程序。然而在實際操作過程中，遭遇Docker官方鏡像庫無法訪問的問題，導致鏡像拉取失敗。經排查發現，由于網絡限制，需借助代理服務器才能訪問鏡像庫。

雖然我的工作機已配置代理，但代理服務僅監聽127.0.0.1本地IP地址，無法直接被內網服務器調用。面對這一挑戰，我決定采用socat工具進行端口轉發，以實現內網服務器通過工作機代理訪問鏡像庫的目標。

二、技術實現步驟

（一）端口轉發配置

使用socat工具將工作機上的代理端口轉發至可被內網服務器訪問的端口。執行以下命令：

socat TCP-LISTEN:8890,fork TCP:127.0.0.1:7890

上述命令中，TCP-LISTEN:8890表示在工作機上監聽8890端口，fork參數允許socat創建子進程以處理多個連接請求；TCP:127.0.0.1:7890則指定將接收到的數據轉發至本地監聽的7890代理端口。

（二）Docker代理配置修改

1. 定位Docker服務配置文件
   通過以下命令查看Docker服務狀態，從而獲取docker.service文件路徑：

sudo systemctl status docker

執行命令后，可在輸出信息中找到docker.service文件位置（如下圖所示）。

2. 編輯配置文件
   打開docker.service文件，在[Service]字段下添加以下環境變量配置：

# 代理配置
Environment="HTTP_PROXY=http://192.168.31.99:8890"
Environment="HTTPS_PROXY=http://192.168.31.99:8890"
Environment="NO_PROXY=localhost,127.0.0.1,10.*,172.*"

其中，192.168.31.99為工作機的IP地址，8890即前文通過socat轉發的端口。NO_PROXY指定了無需通過代理訪問的本地及內網地址段。

3. 重啟Docker服務
   完成配置修改后，依次執行以下命令使配置生效：

sudo systemctl daemon-reload
sudo systemctl restart docker

至此，內網服務器即可通過工作機代理正常拉取Docker鏡像。

三、技術延伸與工具對比

在日常網絡調試工作中，我常用的網絡工具包括netcat和curl。相較于netcat，本次使用的socat功能更為強大，不僅支持TCP、UDP等多種協議，還具備數據轉發、端口映射、協議轉換等高級功能。不過，其命令參數相對復雜，學習成本較高。

以實際項目為例，我在一項目中引入打印模版設計功能時，我使用的是macos系統，由于打印插件僅支持Windows系統，且需通過HTTP請求觸發打印操作。為實現跨平臺調試，我利用socat將本地服務發送至localhost的數據轉發至安裝有打印插件的Windows機器，成功解決了不同系統間的通信問題。這種靈活的數據轉發能力，正是socat在復雜網絡場景下的獨特價值體現。