首页
/ 使用Caddy Docker Proxy与DuckDNS实现动态DNS证书管理

使用Caddy Docker Proxy与DuckDNS实现动态DNS证书管理

2025-06-23 14:25:29作者:秋阔奎Evelyn

前言

在现代Web服务部署中,HTTPS加密已成为基本要求。对于使用动态IP地址或Docker容器化部署的场景,如何自动化管理SSL证书是一个常见挑战。本文将介绍如何结合Caddy Docker Proxy与DuckDNS服务,实现动态DNS环境下的自动化证书管理。

技术组件介绍

Caddy Server

Caddy是一个现代化的Web服务器,以其简洁的配置和自动HTTPS功能著称。它能够自动从Let's Encrypt获取并更新SSL证书,大大简化了HTTPS部署流程。

Caddy Docker Proxy

Caddy Docker Proxy是Caddy的一个插件,允许通过Docker容器标签自动生成Caddy配置。这种设计使得在Docker环境中管理多个服务的反向代理和HTTPS配置变得极为简便。

DuckDNS

DuckDNS是一个免费的动态DNS服务,特别适合家庭服务器或个人项目使用。它允许用户拥有一个可更新的子域名,非常适合动态IP环境。

实现方案

1. 构建自定义Caddy镜像

由于标准Caddy镜像不包含DuckDNS插件,我们需要构建一个包含必要插件的自定义镜像:

ARG CADDY_VERSION=2.8.4
FROM caddy:${CADDY_VERSION}-builder AS builder

RUN xcaddy build \
    --with github.com/lucaslorentz/caddy-docker-proxy/v2 \
    --with github.com/caddy-dns/duckdns

FROM caddy:${CADDY_VERSION}-alpine

COPY --from=builder /usr/bin/caddy /usr/bin/caddy

CMD ["caddy", "docker-proxy"]

这个Dockerfile做了以下工作:

  1. 使用Caddy构建器镜像作为基础
  2. 添加docker-proxy和duckdns两个插件
  3. 将构建好的二进制文件复制到最终镜像中
  4. 设置默认命令为docker-proxy模式

2. 基础服务配置

创建一个基本的Caddy服务配置,监听必要的端口并设置Docker socket挂载:

services:
  caddy:
    build: .
    container_name: caddy
    ports:
      - 80:80
      - 443:443
      - 2019:2019
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./data:/data
      - ./config:/config
    restart: unless-stopped
    labels:
      caddy.email: your-email@example.com

关键点说明:

  • 2019端口用于Caddy的管理API
  • Docker socket挂载允许Caddy读取其他容器的标签
  • 数据卷用于持久化证书和配置

3. Web服务配置示例

下面是一个Nginx服务的配置示例,展示如何通过标签实现HTTPS自动化:

services:
  website:
    image: lscr.io/linuxserver/nginx:latest
    environment:
      - PUID=1000
      - PGID=1000
    volumes:
      - ./config:/config
      - ./www:/config/www
    labels:
      caddy: www.yourdomain.duckdns.org
      caddy.reverse_proxy: "{{upstreams http }}"
      caddy.tls.dns: duckdns your-duckdns-token
      caddy.tls.dns.override_domain: yourdomain.duckdns.org

配置解析:

  • caddy标签指定服务的域名
  • reverse_proxy自动配置反向代理
  • tls.dns使用DuckDNS进行DNS挑战验证
  • override_domain确保证书验证针对主域名

部署流程

  1. 创建必要的目录结构:

    mkdir -p /srv/caddy /srv/www
    docker network create caddy
    
  2. 将上述配置文件放入相应目录

  3. 启动Web服务:

    cd /srv/www
    docker compose up -d
    
  4. 构建并启动Caddy服务:

    cd /srv/caddy
    docker compose up -d --build
    

测试与验证

部署完成后,可以通过以下方式验证配置:

  1. 检查Caddy生成的配置:

    docker compose exec caddy curl http://127.0.0.1:2019/config/
    
  2. 访问配置的域名,确认HTTPS正常工作

  3. 查看日志排查问题:

    docker compose logs -f caddy
    

最佳实践建议

  1. 使用Let's Encrypt测试环境:在开发阶段,建议使用Let's Encrypt的测试环境,避免触发生产环境的速率限制。可以通过添加以下标签实现:

    caddy.acme_ca: https://acme-staging-v02.api.letsencrypt.org/directory
    
  2. 证书管理:Caddy会自动管理证书的获取和续期,证书默认存储在/data卷中。

  3. 网络配置:确保所有需要代理的服务和Caddy在同一个Docker网络中。

  4. 权限管理:注意Docker socket的挂载会给予容器较高权限,在生产环境中应考虑更安全的替代方案。

结语

通过Caddy Docker Proxy与DuckDNS的结合,我们实现了在动态DNS环境下的全自动HTTPS部署。这种方案特别适合个人项目、家庭服务器或开发测试环境,大大简化了证书管理的复杂度。Caddy的自动化特性加上Docker的便捷性,为小型Web服务部署提供了极佳的解决方案。

登录后查看全文
热门项目推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
179
263
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
869
514
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
130
183
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
295
331
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
333
1.09 K
harmony-utilsharmony-utils
harmony-utils 一款功能丰富且极易上手的HarmonyOS工具库,借助众多实用工具类,致力于助力开发者迅速构建鸿蒙应用。其封装的工具涵盖了APP、设备、屏幕、授权、通知、线程间通信、弹框、吐司、生物认证、用户首选项、拍照、相册、扫码、文件、日志,异常捕获、字符、字符串、数字、集合、日期、随机、base64、加密、解密、JSON等一系列的功能和操作,能够满足各种不同的开发需求。
ArkTS
18
0
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.08 K
0
kernelkernel
deepin linux kernel
C
22
5
WxJavaWxJava
微信开发 Java SDK,支持微信支付、开放平台、公众号、视频号、企业微信、小程序等的后端开发,记得关注公众号及时接受版本更新信息,以及加入微信群进行深入讨论
Java
829
22
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
601
58