CommaFeed Docker容器中订阅内网RSS服务的配置指南

在使用Docker部署的CommaFeed RSS阅读器时，用户可能会遇到无法订阅同一内网中其他容器服务提供的RSS源的问题，表现为"Host not allowed"错误。本文将深入分析这一问题的成因，并提供完整的解决方案。

问题背景分析

当CommaFeed运行在Docker环境中时，默认的安全配置会限制其对网络资源的访问。这是为了防止潜在的安全风险，如服务器端请求伪造(SSRF)攻击。因此，当尝试添加来自同一Docker网络内其他容器(如自建Nitter实例)的RSS订阅时，系统会拒绝连接。

根本原因

CommaFeed内置了主机白名单机制，默认只允许访问公网域名和部分受信任的主机。对于Docker容器间的通信，特别是使用容器名称作为主机名的情况，必须显式配置白名单才能允许访问。

解决方案

方法一：通过环境变量配置

启动CommaFeed容器时，添加以下环境变量来允许特定主机的访问：

docker run -d \
  -e COMMAFEED_HTTPCLIENT_ALLOWEDHOSTS="nitter,localhost" \
  -p 8082:8082 \
  --name commafeed \
  athou/commafeed:latest

其中"nitter"是您要访问的RSS服务容器名称，"localhost"允许本地访问。

方法二：使用Docker网络别名

1. 首先创建一个自定义Docker网络：

docker network create rss_network

2. 将CommaFeed和目标服务加入同一网络，并为目标服务设置别名：

docker run -d --network rss_network --name commafeed athou/commafeed:latest
docker run -d --network rss_network --name nitter --network-alias myrss nitter/nitter

3. 在CommaFeed配置中允许"myrss"别名：

-e COMMAFEED_HTTPCLIENT_ALLOWEDHOSTS="myrss"

方法三：使用IP地址替代主机名

如果上述方法不可行，可以直接使用目标容器的IP地址进行订阅。首先获取目标容器的IP：

docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' nitter

然后在CommaFeed中使用获取到的IP地址订阅RSS源。

验证配置

配置完成后，可以通过以下步骤验证：

1. 进入CommaFeed容器：

docker exec -it commafeed bash

2. 测试网络连通性：

curl http://nitter/yokotaro/rss

3. 如果返回RSS内容，则表明白名单配置成功。

安全建议

1. 仅将必要的内网主机添加到白名单
2. 避免在生产环境中使用过于宽松的通配符配置
3. 定期审查白名单中的主机
4. 考虑使用反向代理统一管理内部服务访问

通过以上配置，您可以在保持安全性的同时，实现CommaFeed与内网RSS服务的正常通信。这种方案不仅适用于Nitter实例，也适用于其他自建的RSS服务容器。