[Docker] 如何给 Docker 配置网络代理?

序

有时因为网络原因，比如公司 NAT，或其它啥的，需要使用代理。Docker 的代理配置，略显复杂，因为有三种场景。但基本原理都是一致的，都是利用 Linux 的 http_proxy 等环境变量。

概述：Docker 网络代理方案

方案1：Dockerd 代理

• 在执行docker pull时，是由守护进程dockerd来执行。

因此，代理需要配在dockerd的环境中。而这个环境，则是受systemd所管控，因此实际是systemd的配置。

sudo mkdir -p /etc/systemd/system/docker.service.d
sudo touch /etc/systemd/system/docker.service.d/proxy.confls -la /etc/systemd/system/docker.service.d/

在这个proxy.conf文件（可以是任意*.conf的形式）中，添加以下内容：

[Service]
Environment="HTTP_PROXY=http://proxy.example.com:8080/"
Environment="HTTPS_PROXY=http://proxy.example.com:8080/"
Environment="NO_PROXY=localhost,127.0.0.1,.example.com"

其中，http://proxy.example.com:8080 要换成可用的免密代理。

通常使用 cntlm 在本机自建免密代理，去对接公司的代理。可参考《Linux下安装配置Cntlm 代理》。

方案2：Container 代理

• 在容器运行阶段，如果需要代理上网，则需要配置 ~/.docker/config.json。

以下配置，只在Docker 17.07及以上版本生效。

{"proxies":{"default":{"httpProxy": "http://proxy.example.com:8080","httpsProxy": "http://proxy.example.com:8080","noProxy": "localhost,127.0.0.1,.example.com"}}
}

这个是用户级的配置，除了 proxies，docker login 等相关信息也会在其中。

而且还可以配置信息展示的格式、插件参数等。

• 此外，容器的网络代理，也可以直接在其运行时通过 -e 注入 http_proxy 等环境变量。

这两种方法分别适合不同场景。

config.json 非常方便，默认在所有配置修改后启动的容器生效，适合个人开发环境。

在CI/CD的自动构建环境、或者实际上线运行的环境中，这种方法就不太合适，用 -e 注入这种显式配置会更好，减轻对构建、部署环境的依赖。

当然，在这些环境中，最好用良好的设计避免配置代理上网。

方案3：Docker Build 代理

• 虽然 docker build 的本质，也是启动一个容器，但是环境会略有不同，用户级配置无效。

• 在构建时，需要注入 http_proxy 等参数。

docker build . \--build-arg "HTTP_PROXY=http://proxy.example.com:8080/" \--build-arg "HTTPS_PROXY=http://proxy.example.com:8080/" \--build-arg "NO_PROXY=localhost,127.0.0.1,.example.com" \-t your/image:tag

注意：无论是 docker run 还是 docker build，默认是网络隔绝的。

如果代理使用的是 localhost:3128 这类，则会无效。

这类仅限本地的代理，必须加上 --network host 才能正常使用。

而一般则需要配置代理的外部IP，而且代理本身要开启 Gateway 模式。

重启生效

• 代理配置完成后，reboot 重启当然可以生效，但不重启也行。

• docker build 代理是在执行前设置的，所以修改后，下次执行立即生效。

  • Container 代理的修改也是立即生效的，但是只针对以后启动的 Container，对已启动的 Container 无效。

• dockerd 代理的修改比较特殊，它实际上是改 systemd 的配置，因此需要重载 systemd 并重启 dockerd 才能生效。

sudo systemctl daemon-reload
sudo systemctl restart docker

参考文献：如何配置docker通过代理服务器拉取镜像？

• 如果 docker 所在的环境是通过代理服务器和互联网连通的，那么需要一番配置才能让 docker 正常从外网正常拉取镜像。

• 然而，仅仅通过配置环境变量的方法是不够的。本文结合已有文档，介绍如何配置代理服务器能使docker正常拉取镜像。

本文使用的docker 版本是

docker --version
Docker version 24.0.2, build cb74dfc

问题现象

如果不配置代理服务器就直接拉镜像，docker 会直接尝试连接镜像仓库，并且连接超时报错。如下所示：

$ docker pull busybox
Using default tag: latest
Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled 
while waiting for connection (Client.Timeout exceeded while awaiting headers)

问题分析

容易误导的官方文档

有这么一篇关于 docker 配置代理服务器的 官方文档 ，如果病急乱投医，直接按照这篇文章配置，是不能成功拉取镜像的。

我们来理解一下这篇文档，文档关键的原文摘录如下：

If your container needs to use an HTTP, HTTPS, or FTP proxy server, you can configure it in different ways: Configure the Docker client On the Docker client, create or edit the file ~/.docker/config.json in the home directory of the user that starts containers....When you create or start new containers, the environment variables are set automatically within the container.

这篇文档说：如果你的 容器 需要使用代理服务器，那么可以以如下方式配置： 在运行容器的用户 home 目录下，配置 ~/.docker/config.json 文件。重新启动容器后，这些环境变量将自动设置进容器，从而容器内的进程可以使用代理服务。

所以这篇文章是讲如何配置运行 容器 的环境，与如何拉取镜像无关。

如果按照这篇文档的指导，如同南辕北辙。

要解决问题，我们首先来看一般情况下命令行如何使用代理。

环境变量

• 常规的命令行程序如果要使用代理，需要设置两个环境变量：HTTP_PROXY 和 HTTPS_PROXY 。但是仅仅这样设置环境变量，也不能让 docker 成功拉取镜像。

我们仔细观察 上面的报错信息，有一句说明了报错的来源：

Error response from daemon:

• 因为镜像的拉取和管理都是 docker daemon 的职责，所以我们要让 docker daemon 知道代理服务器的存在。

• 而 docker daemon 是由 systemd 管理的，所以我们要从 systemd 配置入手。

正确的官方文档

关于 systemd 配置代理服务器的 官方文档在这里，原文说：

The Docker daemon uses the HTTP_PROXY, HTTPS_PROXY, and NO_PROXY environmental variables in its start-up environment to configure HTTP or HTTPS proxy behavior. You cannot configure these environment variables using the daemon.json file.This example overrides the default docker.service file.If you are behind an HTTP or HTTPS proxy server, for example in corporate settings, you need to add this configuration in the Docker systemd service file.

这段话的意思是，docker daemon 使用 HTTP_PROXY, HTTPS_PROXY, 和 NO_PROXY 三个环境变量配置代理服务器，但是你需要在 systemd 的文件里配置环境变量，而不能配置在 daemon.json 里。

具体操作

下面是来自 Docker 官方文档 的操作步骤和详细解释：

1、创建 dockerd 相关的 systemd 目录，这个目录下的配置将覆盖 dockerd 的默认配置

$ sudo mkdir -p /etc/systemd/system/docker.service.d

新建配置文件 /etc/systemd/system/docker.service.d/http-proxy.conf，这个文件中将包含环境变量

[Service]
Environment="HTTP_PROXY=http://proxy.example.com:80"
Environment="HTTPS_PROXY=https://proxy.example.com:443"

如果你自己建了私有的镜像仓库，需要 dockerd 绕过代理服务器直连，那么配置 NO_PROXY 变量：

[Service]
Environment="HTTP_PROXY=http://proxy.example.com:80"
Environment="HTTPS_PROXY=https://proxy.example.com:443"
Environment="NO_PROXY=your-registry.com,10.10.10.10,*.example.com"

多个 NO_PROXY 变量的值用逗号分隔，而且可以使用通配符（*），极端情况下，如果 NO_PROXY=*，那么所有请求都将不通过代理服务器。

重新加载配置文件，重启 dockerd

$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

检查确认环境变量已经正确配置：

$ sudo systemctl show --property=Environment docker

从 docker info 的结果中查看配置项。

这样配置后，应该可以正常拉取 docker 镜像。

结论

• docker 镜像由 docker daemon 管理

  所以不能用修改 shell 环境变量的方法使用代理服务，而是从 systemd 角度设置环境变量。

  在一些特定环境下，需要在代理环境下使用Docker的某些功能，本文介绍一些场景下 如何配置网络代理

Y 推荐文献

• [Docker] Docker Compose 基础教程（概念/基础操作） - 博客园/千千寰宇
• [Docker] Docker 基础教程（概念/原理/基础操作） - 博客园/千千寰宇

X 参考文献

• 如何配置docker通过代理服务器拉取镜像 - 醉马踏千秋 - 博客园
• https://www.lfhacks.com/tech/pull-docker-images-behind-proxy/#correct
• https://stackoverflow.com/questions/69047394/cant-pull-docker-image-behind-a-proxy
• https://mikemylonakis.com/unix/docker-proxy/
• https://docs.docker.com/config/daemon/systemd/