sub2api简易教程

·(已编辑)··

阅读·

喜欢

关键洞察

Sub2API + Cloudflare Tunnel 一体化部署教程

目标：用 Docker Compose 部署 sub2api + PostgreSQL + Redis + cloudflared，宿主机不暴露任何业务端口。公网访问只走 Cloudflare Tunnel。

1. 准备 Cloudflare Tunnel

前提：

你的域名已经添加到 Cloudflare，并且 DNS 由 Cloudflare 托管。
服务器能主动访问公网。Cloudflare Tunnel 是出站连接，不需要在服务器安全组或防火墙里放行入站 80、443、8080、5432、6379。

在英文版 Cloudflare Zero Trust 控制台创建 Tunnel：

进入 Zero Trust -> Networks -> Connectors -> Cloudflare Tunnels。
- 如果你的控制台还是旧版入口，可能显示为 Zero Trust -> Networks -> Tunnels。
点击 Create a tunnel。
Select your connector 选择 Cloudflared。
输入 Tunnel 名称，例如 sub2api，然后保存。
在安装命令页面选择 Docker，复制命令里 --token 后面的长字符串，后面填到 .env 的 CLOUDFLARED_TOKEN。

CLOUDFLARED_TOKEN 等同于这个 Tunnel 的连接凭据，不要发给别人，也不要提交到 Git 仓库。

Public Hostname 在 Tunnel connector 连上后配置：

启动本文后面的 Docker Compose。
回到 Cloudflare Tunnel 页面，确认 connector 变成 Healthy。
进入这个 Tunnel 的 Published applications。
- 有些界面会显示为 Public Hostnames 或 Published Application Routes。
点击 Add a public hostname，填写：
- Subdomain：例如 api
- Domain：你的域名，例如 example.com
- Path：留空
- Service Type：选择 HTTP
- URL / Service：填 sub2api:8080
- 其他高级选项保持默认即可，不需要开启 No TLS Verify，因为这里到源站是普通 HTTP。

如果你的界面只有一个完整 Service 输入框，也可以直接填 http://sub2api:8080。

注意：这里的 sub2api 是 Docker Compose 内部服务名，不是公网域名，也不是 127.0.0.1。Cloudflare Tunnel 和 Sub2API 在同一个 Docker 网络里，所以 cloudflared 可以用服务名访问 sub2api:8080。

2. 创建部署目录

BASH

mkdir -p /opt/sub2api-stack
cd /opt/sub2api-stack
mkdir -p volumes/sub2api-postgres volumes/sub2api-redis volumes/sub2api-data

3. 写入 docker-compose.yml

CodeBlock Loading...

这个 Compose 没有 ports: 配置，所以不会在宿主机暴露 8080、5432、6379 或其他业务端口。

4. 写入 .env

CodeBlock Loading...

建议这样生成随机值后替换 .env 里的 change-me-*：

CodeBlock Loading...

JWT_SECRET 和 TOTP_ENCRYPTION_KEY 必须固定保存。不要留空，也不要每次重建时重新生成，否则会导致已有登录会话失效，已绑定的 2FA 也可能失效。

5. 启动

CodeBlock Loading...

正常状态应类似：

TEXT

sub2api-db      Up ... healthy
sub2api-redis   Up ... healthy
sub2api         Up ... healthy
cloudflared     Up ...

6. 验证

因为没有暴露宿主机端口，所以不要用宿主机 curl http://127.0.0.1:8080/ 判断是否成功。

用容器内检查：

CodeBlock Loading...

也可以检查更轻量的健康接口：

CodeBlock Loading...

用公网域名检查：

CodeBlock Loading...

把 api.example.com 替换成你在 Cloudflare Public Hostname 里配置的域名。

7. 更新

只更新 Sub2API：

CodeBlock Loading...

更新全部镜像：

CodeBlock Loading...

8. 常用排障

查看 Sub2API 日志：

CodeBlock Loading...

查看 Cloudflare Tunnel 日志：

CodeBlock Loading...

确认 Cloudflare Tunnel 能在容器网络内访问 Sub2API：

CodeBlock Loading...

如果公网域名访问失败，但上面的容器网络检查成功，优先检查 Cloudflare Tunnel 的 Public Hostname 是否配置为：

CodeBlock Loading...

Sub2API + Cloudflare Tunnel 一体化部署教程

目标：用 Docker Compose 部署 sub2api + PostgreSQL + Redis + cloudflared，宿主机不暴露任何业务端口。公网访问只走 Cloudflare Tunnel。

1. 准备 Cloudflare Tunnel

前提：

你的域名已经添加到 Cloudflare，并且 DNS 由 Cloudflare 托管。
服务器能主动访问公网。Cloudflare Tunnel 是出站连接，不需要在服务器安全组或防火墙里放行入站 80、443、8080、5432、6379。

在英文版 Cloudflare Zero Trust 控制台创建 Tunnel：

进入 Zero Trust -> Networks -> Connectors -> Cloudflare Tunnels。
- 如果你的控制台还是旧版入口，可能显示为 Zero Trust -> Networks -> Tunnels。
点击 Create a tunnel。
Select your connector 选择 Cloudflared。
输入 Tunnel 名称，例如 sub2api，然后保存。
在安装命令页面选择 Docker，复制命令里 --token 后面的长字符串，后面填到 .env 的 CLOUDFLARED_TOKEN。

CLOUDFLARED_TOKEN 等同于这个 Tunnel 的连接凭据，不要发给别人，也不要提交到 Git 仓库。

Public Hostname 在 Tunnel connector 连上后配置：

启动本文后面的 Docker Compose。
回到 Cloudflare Tunnel 页面，确认 connector 变成 Healthy。
进入这个 Tunnel 的 Published applications。
- 有些界面会显示为 Public Hostnames 或 Published Application Routes。
点击 Add a public hostname，填写：
- Subdomain：例如 api
- Domain：你的域名，例如 example.com
- Path：留空
- Service Type：选择 HTTP
- URL / Service：填 sub2api:8080
- 其他高级选项保持默认即可，不需要开启 No TLS Verify，因为这里到源站是普通 HTTP。

如果你的界面只有一个完整 Service 输入框，也可以直接填 http://sub2api:8080。

2. 创建部署目录

BASH

mkdir -p /opt/sub2api-stack
cd /opt/sub2api-stack
mkdir -p volumes/sub2api-postgres volumes/sub2api-redis volumes/sub2api-data

3. 写入 docker-compose.yml

YAML

name: sub2api-stack

services:
  sub2api-db:
    image: postgres:18-alpine
    container_name: sub2api-db
    restart: unless-stopped
    environment:
      POSTGRES_DB: ${POSTGRES_DB}
      POSTGRES_USER: ${POSTGRES_USER}
      POSTGRES_PASSWORD: ${POSTGRES_PASSWORD}
      PGDATA: /var/lib/postgresql/data
      TZ: ${TZ}
    volumes:
      - ./volumes/sub2api-postgres:/var/lib/postgresql/data
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -U $$POSTGRES_USER -d $$POSTGRES_DB"]
      interval: 10s
      timeout: 5s
      retries: 10
    networks:
      - sub2api_net

  sub2api-redis:
    image: redis:8-alpine
    container_name: sub2api-redis
    restart: unless-stopped
    command: >
      sh -c 'redis-server
      --save 60 1
      --appendonly yes
      --appendfsync everysec
      --requirepass "$$REDIS_PASSWORD"'
    environment:
      REDIS_PASSWORD: ${REDIS_PASSWORD}
      REDISCLI_AUTH: ${REDIS_PASSWORD}
      TZ: ${TZ}
    volumes:
      - ./volumes/sub2api-redis:/data
    healthcheck:
      test: ["CMD", "redis-cli", "ping"]
      interval: 10s
      timeout: 5s
      retries: 10
    networks:
      - sub2api_net

  sub2api:
    image: weishaw/sub2api:latest
    container_name: sub2api
    restart: unless-stopped
    depends_on:
      sub2api-db:
        condition: service_healthy
      sub2api-redis:
        condition: service_healthy
    extra_hosts:
      - "host.docker.internal:host-gateway"
    ulimits:
      nofile:
        soft: 100000
        hard: 100000
    volumes:
      - ./volumes/sub2api-data:/app/data
    environment:
      AUTO_SETUP: "true"

      SERVER_HOST: "0.0.0.0"
      SERVER_PORT: "8080"
      SERVER_MODE: "release"
      RUN_MODE: "standard"

      DATABASE_HOST: "sub2api-db"
      DATABASE_PORT: "5432"
      DATABASE_USER: "${POSTGRES_USER}"
      DATABASE_PASSWORD: "${POSTGRES_PASSWORD}"
      DATABASE_DBNAME: "${POSTGRES_DB}"
      DATABASE_SSLMODE: "disable"
      DATABASE_MAX_OPEN_CONNS: "10"
      DATABASE_MAX_IDLE_CONNS: "2"
      DATABASE_CONN_MAX_LIFETIME_MINUTES: "30"
      DATABASE_CONN_MAX_IDLE_TIME_MINUTES: "5"

      REDIS_HOST: "sub2api-redis"
      REDIS_PORT: "6379"
      REDIS_PASSWORD: "${REDIS_PASSWORD}"
      REDIS_DB: "0"
      REDIS_POOL_SIZE: "64"
      REDIS_MIN_IDLE_CONNS: "2"
      REDIS_ENABLE_TLS: "false"

      ADMIN_EMAIL: "${ADMIN_EMAIL}"
      ADMIN_PASSWORD: "${ADMIN_PASSWORD}"

      JWT_SECRET: "${JWT_SECRET}"
      JWT_EXPIRE_HOUR: "24"
      TOTP_ENCRYPTION_KEY: "${TOTP_ENCRYPTION_KEY}"

      TZ: "${TZ}"

      SECURITY_URL_ALLOWLIST_ENABLED: "false"
      SECURITY_URL_ALLOWLIST_ALLOW_INSECURE_HTTP: "true"
      SECURITY_URL_ALLOWLIST_ALLOW_PRIVATE_HOSTS: "true"
      SECURITY_URL_ALLOWLIST_UPSTREAM_HOSTS: ""

      UPDATE_PROXY_URL: "${UPDATE_PROXY_URL:-}"
    healthcheck:
      test: ["CMD", "wget", "-q", "-T", "5", "-O", "/dev/null", "http://127.0.0.1:8080/health"]
      interval: 20s
      timeout: 5s
      retries: 10
      start_period: 30s
    networks:
      - sub2api_net

  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    command: tunnel --no-autoupdate run --token ${CLOUDFLARED_TOKEN}
    depends_on:
      sub2api:
        condition: service_healthy
    networks:
      - sub2api_net

networks:
  sub2api_net:
    driver: bridge

CodeBlock Loading...

这个 Compose 没有 ports: 配置，所以不会在宿主机暴露 8080、5432、6379 或其他业务端口。

4. 写入 .env

BASH

cat > .env <<'EOF'
TZ=Asia/Shanghai

POSTGRES_DB=sub2api
POSTGRES_USER=sub2api
POSTGRES_PASSWORD=change-me-db-password
REDIS_PASSWORD=change-me-redis-password

ADMIN_EMAIL=admin@example.com
ADMIN_PASSWORD=change-me-admin-password

JWT_SECRET=change-me-jwt-secret
TOTP_ENCRYPTION_KEY=change-me-totp-encryption-key

CLOUDFLARED_TOKEN=change-me-cloudflare-tunnel-token

# 可选：如果不需要代理，保持为空。
UPDATE_PROXY_URL=
EOF

CodeBlock Loading...

建议这样生成随机值后替换 .env 里的 change-me-*：

BASH

# 每执行一次生成一个随机值，分别替换不同的 change-me-*。
# 使用 hex 可以避免 .env 里出现需要转义的特殊字符。
openssl rand -hex 32

CodeBlock Loading...

JWT_SECRET 和 TOTP_ENCRYPTION_KEY 必须固定保存。不要留空，也不要每次重建时重新生成，否则会导致已有登录会话失效，已绑定的 2FA 也可能失效。

5. 启动

BASH

docker compose pull
docker compose up -d
docker compose ps

CodeBlock Loading...

正常状态应类似：

TEXT

sub2api-db      Up ... healthy
sub2api-redis   Up ... healthy
sub2api         Up ... healthy
cloudflared     Up ...

6. 验证

因为没有暴露宿主机端口，所以不要用宿主机 curl http://127.0.0.1:8080/ 判断是否成功。

用容器内检查：

BASH

docker exec sub2api wget -qO- http://127.0.0.1:8080/

CodeBlock Loading...

也可以检查更轻量的健康接口：

BASH

docker exec sub2api wget -qO- http://127.0.0.1:8080/health

CodeBlock Loading...

用公网域名检查：

BASH

curl -I https://api.example.com/

CodeBlock Loading...

把 api.example.com 替换成你在 Cloudflare Public Hostname 里配置的域名。

7. 更新

只更新 Sub2API：

BASH

docker compose pull sub2api
docker compose up -d --no-deps --force-recreate sub2api
docker compose ps

CodeBlock Loading...

更新全部镜像：

BASH

docker compose pull
docker compose up -d
docker compose ps

CodeBlock Loading...

8. 常用排障

查看 Sub2API 日志：

BASH

docker logs --tail 100 sub2api

CodeBlock Loading...

查看 Cloudflare Tunnel 日志：

BASH

docker logs --tail 100 cloudflared

CodeBlock Loading...

确认 Cloudflare Tunnel 能在容器网络内访问 Sub2API：

BASH

docker run --rm --network sub2api-stack_sub2api_net curlimages/curl:8.12.1 -fsS http://sub2api:8080/health

CodeBlock Loading...

如果公网域名访问失败，但上面的容器网络检查成功，优先检查 Cloudflare Tunnel 的 Public Hostname 是否配置为：

TEXT

Service Type: HTTP
URL / Service: sub2api:8080

CodeBlock Loading...