使用Caddy Docker Proxy与DuckDNS实现动态DNS证书管理

前言

在现代Web服务部署中，HTTPS加密已成为基本要求。对于使用动态IP地址或Docker容器化部署的场景，如何自动化管理SSL证书是一个常见挑战。本文将介绍如何结合Caddy Docker Proxy与DuckDNS服务，实现动态DNS环境下的自动化证书管理。

技术组件介绍

Caddy Server

Caddy是一个现代化的Web服务器，以其简洁的配置和自动HTTPS功能著称。它能够自动从Let's Encrypt获取并更新SSL证书，大大简化了HTTPS部署流程。

Caddy Docker Proxy

Caddy Docker Proxy是Caddy的一个插件，允许通过Docker容器标签自动生成Caddy配置。这种设计使得在Docker环境中管理多个服务的反向代理和HTTPS配置变得极为简便。

DuckDNS

DuckDNS是一个免费的动态DNS服务，特别适合家庭服务器或个人项目使用。它允许用户拥有一个可更新的子域名，非常适合动态IP环境。

实现方案

1. 构建自定义Caddy镜像

由于标准Caddy镜像不包含DuckDNS插件，我们需要构建一个包含必要插件的自定义镜像：

ARG CADDY_VERSION=2.8.4
FROM caddy:${CADDY_VERSION}-builder AS builder

RUN xcaddy build \
    --with github.com/lucaslorentz/caddy-docker-proxy/v2 \
    --with github.com/caddy-dns/duckdns

FROM caddy:${CADDY_VERSION}-alpine

COPY --from=builder /usr/bin/caddy /usr/bin/caddy

CMD ["caddy", "docker-proxy"]

这个Dockerfile做了以下工作：

1. 使用Caddy构建器镜像作为基础
2. 添加docker-proxy和duckdns两个插件
3. 将构建好的二进制文件复制到最终镜像中
4. 设置默认命令为docker-proxy模式

2. 基础服务配置

创建一个基本的Caddy服务配置，监听必要的端口并设置Docker socket挂载：

services:
  caddy:
    build: .
    container_name: caddy
    ports:
      - 80:80
      - 443:443
      - 2019:2019
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./data:/data
      - ./config:/config
    restart: unless-stopped
    labels:
      caddy.email: your-email@example.com

关键点说明：

• 2019端口用于Caddy的管理API
• Docker socket挂载允许Caddy读取其他容器的标签
• 数据卷用于持久化证书和配置

3. Web服务配置示例

下面是一个Nginx服务的配置示例，展示如何通过标签实现HTTPS自动化：

services:
  website:
    image: lscr.io/linuxserver/nginx:latest
    environment:
      - PUID=1000
      - PGID=1000
    volumes:
      - ./config:/config
      - ./www:/config/www
    labels:
      caddy: www.yourdomain.duckdns.org
      caddy.reverse_proxy: "{{upstreams http }}"
      caddy.tls.dns: duckdns your-duckdns-token
      caddy.tls.dns.override_domain: yourdomain.duckdns.org

配置解析：

• caddy标签指定服务的域名
• reverse_proxy自动配置反向代理
• tls.dns使用DuckDNS进行DNS挑战验证
• override_domain确保证书验证针对主域名

部署流程

1. 创建必要的目录结构：

   mkdir -p /srv/caddy /srv/www
   docker network create caddy
   

2. 将上述配置文件放入相应目录

3. 启动Web服务：

   cd /srv/www
   docker compose up -d
   

4. 构建并启动Caddy服务：

   cd /srv/caddy
   docker compose up -d --build
   

测试与验证

部署完成后，可以通过以下方式验证配置：

1. 检查Caddy生成的配置：

   docker compose exec caddy curl http://127.0.0.1:2019/config/
   

2. 访问配置的域名，确认HTTPS正常工作

3. 查看日志排查问题：

   docker compose logs -f caddy
   

最佳实践建议

1. 使用Let's Encrypt测试环境：在开发阶段，建议使用Let's Encrypt的测试环境，避免触发生产环境的速率限制。可以通过添加以下标签实现：

   caddy.acme_ca: https://acme-staging-v02.api.letsencrypt.org/directory
   

2. 证书管理：Caddy会自动管理证书的获取和续期，证书默认存储在/data卷中。

3. 网络配置：确保所有需要代理的服务和Caddy在同一个Docker网络中。

4. 权限管理：注意Docker socket的挂载会给予容器较高权限，在生产环境中应考虑更安全的替代方案。

结语

通过Caddy Docker Proxy与DuckDNS的结合，我们实现了在动态DNS环境下的全自动HTTPS部署。这种方案特别适合个人项目、家庭服务器或开发测试环境，大大简化了证书管理的复杂度。Caddy的自动化特性加上Docker的便捷性，为小型Web服务部署提供了极佳的解决方案。