解读

在国内云原生与边缘计算场景下，容器平台经常需要穿透 NAT/防火墙，把内网 Docker 节点的 22 端口暴露给公网 CI/CD 调度中心，以便在不改动现有网络拓扑的前提下完成远程调试、镜像热更新或日志抓取。传统 frp、autossh 方案需要额外进程与配置，而 WireGuard 作为内核级 UDP VPN，可以零配置（即“开机自连、对端免改”）地打通 Layer3，再利用 SSH 原生反向隧道把流量回注，实现“一条指令上线、容器漂移不断链”。面试官重点考察：

1. 能否把 WireGuard 与 Docker 网络栈融合，做到容器重启 IP 不变、隧道不断；
2. 是否理解“零配置”背后的预共享密钥分发、WG 快速握手与 systemd 模板化；
3. 能否在国内 UDP 限速/QoS环境下做链路保活与容灾；
4. 安全侧是否掌握最小镜像、非 root、Secrets 动态挂载等 Docker 加固要点。

知识点

• WireGuard 内核模块与用户态工具（wg、wg-quick）在 Alpine/Debian 镜像内的裁剪安装
• Docker 多阶段构建减少 WG 二进制体积，最终镜像 <10 MB
• NET_ADMIN 与 SYS_MODULE 能力在容器启动参数中的精准授权，避免 –privileged
• systemd 模板单元%i 实例化，实现“wg-quick@wg0.service”开机自启
• AllowedIPs=0.0.0.0/0 与 Table=off 策略路由，防止容器默认流量被劫持
• SSH 反向隧道语法：ssh -R 0:localhost:22 -o ServerAliveInterval=30 -o ExitOnForwardFailure=yes
• wg set wg0 peer … persistent-keepalive=25 解决国内 NAT UDP 会话老化（通常 60 s）
• Docker Secrets 通过 tmpfs 挂载私钥，容器内 chmod 400，确保私钥不落地层
• 镜像签名与 Cosign，防止 WG 私钥在镜像仓库被篡改（国内 Harbor 2.5+ 已支持）
• Cilium + WireGuard 的透明加密替代方案，考察候选人对容器网络插件演进的认知

答案

1. 镜像构建
   采用多阶段构建，第一阶段用 golang:1.21-alpine 编译 wireguard-tools 静态版；第二阶段拷贝 wg、wg-quick 到 distroless 基础镜像，最终镜像仅含 7.2 MB 可执行文件与 busybox 的 sh，无包管理器、无 root 账号，符合国内金融云“最小镜像”基线。

2. 密钥分发
   在 GitLab CI 中预生成Curve25519 密钥对，公钥写进编排仓库，私钥以Docker Secret注入；容器启动时通过 entrypoint.sh 执行
   wg set wg0 private-key /run/secrets/wg_private_key
   实现“零配置”——开发侧无需手动编辑 wg0.conf。

3. 容器启动参数

   docker run -d --cap-add=NET_ADMIN --cap-add=SYS_MODULE \
     -v /lib/modules:/lib/modules:ro \
     --name wg-ssh-tunnel \
     -p 51820:51820/udp \
     --restart=unless-stopped \
     myrepo/wg-ssh:alpine-3.18
   

   仅授予最小能力集，不开启 –privileged，满足国内等保 2.0 三级要求。

4. WireGuard 配置模板

   [Interface]
   Address = 10.0.0.2/32
   PrivateKey = __DOCKER_SECRET__
   Table = off
   MTU = 1420
   
   [Peer]
   PublicKey = __CI_SERVER_PUBKEY__
   Endpoint = ci.example.com:51820
   AllowedIPs = 10.0.0.1/32
   PersistentKeepalive = 25
   

   Table=off 保证容器默认路由不变，只把 CI 流量引入隧道，避免抢占宿主机网络。

5. SSH 反向隧道自启动
   容器内使用s6-overlay 托管两条进程：

   • wg-quick up wg0
   • autossh -M 0 -o "ServerAliveInterval 30" -o "ExitOnForwardFailure yes" -R 0:localhost:22 tunnel@10.0.0.1
     其中 -R 0 让 CI 端动态分配端口，实现“零配置”端口映射；autossh 监控 SSH 进程，断线 3 秒重连，保障容器漂移后隧道自动恢复。

6. 国内网络优化
   在 UDP 51820 被限速时，通过docker run -e WG_PORT=443/udp 启动，利用国内云厂商对 443/udp 的“WebRTC 白名单”绕过 QoS；同时在 CI 端配置wg0 接口的 fwmark + ip rule，把回包流量打上同样标记，防止反向路径过滤丢包。

7. 安全加固

   • 容器内创建非用户 wg-user (uid 1000)，ssh 隧道以此身份运行；
   • 通过 --read-only --tmpfs /tmp 把容器根目录设为只读，临时文件写入内存；
   • 利用 seccomp=runtime/default 与 apparmor=docker-default 双重隔离；
   • 私钥路径 /run/secrets 为 tmpfs，容器停止即消失，满足密钥不落盘合规要求。

8. 故障排查

   • 隧道不通：先宿主机 tcpdump -i any udp port 51820 确认握手包是否到达；
   • 再容器内 wg show wg0 latest-handshakes 看是否0:00:03 内更新；
   • SSH 反向隧道未建立：检查 CI 端 /etc/ssh/sshd_config 的 GatewayPorts=clientspecified 与 AllowTcpForwarding=yes；
   • 容器重启后 IP 变化：在 docker-compose.yml 中给服务加 ipv4_address: 10.0.0.2，保证 WG 地址固定，避免对端 AllowedIPs 漂移。

拓展思考

• 若需多租户隔离，可为每个项目启动独立 WG 网络命名空间，利用 Docker Macvlan + VLAN 子接口 把 51820 流量隔离开；同时用 OPA Gatekeeper 策略强制注入 sidecar wg 容器，实现“零信任”网格。
• 在边缘 K3s 场景，可用 DaemonSet 统一在每个节点部署 WG 隧道容器，通过 Cilium 的 WireGuard datapath 替代用户态 wg0，性能提升 30%，且无需 NET_ADMIN，符合国内运营商对内核模块签名要求。
• 面对国密合规，可调研 WireGuard-GM 分支，把 ChaCha20 换成 SM4、Poly1305 换成 SM3，同时用 国密 SSL 证书保护 SSH 反向隧道，实现“算法合规 + 零配置”双达标。