NAS一键部署MicroWARP:轻量WARP SOCKS5代理实现Docker网络自由
为什么你的NAS Docker应用总是连不上?
在NAS上运行Docker时,常常会碰到这些让人头疼的问题:
- 拉取镜像如同蜗牛,甚至直接失败;
- 需要访问海外API的容器,时不时断线;
- 服务看起来在正常运行,但更新、同步、订阅以及对外接口调用的速度与稳定性都大打折扣。
过去我曾分享过Mihomo的部署方案,它适合做全局的代理管理和规则分流。但对于大多数NAS用户来说,需求远没有这么复杂——只是想让某几个特定的Docker应用能够顺畅地下载镜像、更新订阅或访问外部API,而不是改变整台NAS的网络架构。
有没有更轻量的办法?今天要介绍的MicroWARP,就是这样一个方案:通过Docker在NAS上运行一个WARP SOCKS5代理,按需为特定的容器提供干净的出口网络。简单说,它不搞复杂的分流规则,只专心做好“落地出口”。
⚠️ 安全提醒:此代理服务默认仅供本地使用。如果必须开放到公网,请务必设置复杂的用户名和密码,避免被他人滥用。
为什么选择MicroWARP?
完整项目仓库为 ccbkkb/MicroWARP,可通过GitHub搜索获取。如果你需要其他平台的版本,可以切换到仓库的next分支自行构建,但记得准确指定镜像Tag。
市面上常见的WARP镜像(比如 caomingjun/warp)大多依赖Cloudflare官方的 warp-cli 守护进程,这通常会带来约150MB以上的内存占用,且在高并发场景下容易出现性能瓶颈。
MicroWARP 则采用了完全不同的底层设计:
- 内核级WireGuard:直接利用Linux原生内核态的
wg0接口处理流量,CPU损耗几乎为零。 - 轻量服务组件:核心部分由小型C语言程序构成,长时间运行资源消耗极低。
- 极低内存占用:高并发下内存用量依旧控制在5MB以内(实测常驻仅800KB左右),特别适合资源受限的设备。
- 原生兼容Tailscale:智能保留回程路由,避免全局接管造成的非对称路由黑洞,与异地组网直连完全兼容。
- 多架构支持:原生支持
amd64和arm64,完美覆盖各类ARM平台的NAS。
部署流程
下面以威联通NAS为例,通过Docker Compose的方式完成MicroWARP的部署。
完整的 docker-compose.yml 配置如下:
services:
microwarp:
image: ghcr.io/ccbkkb/microwarp:latest
container_name: microwarp
restart: always
ports:
- "0.0.0.0:1080:1080" # 监听所有IP
cap_add:
- NET_ADMIN
- SYS_MODULE
sysctls:
- net.ipv4.conf.all.src_valid_mark=1
environment:
- SOCKS_USER=ydxian # 如果监听任意IP,建议设置用户名
- SOCKS_PASS=qnap1234 # 务必配置强密码
volumes:
- /share/Container/microwarp/warp-data:/etc/wireguard
logging:
driver: "json-file"
options:
max-size: "3m"
max-file: "3"
作者还提供了一些进阶环境变量,可按需添加,例如用于自定义WARP端口或开启调试日志等。
接着,在威联通的Container Station中点击“创建应用程序”,粘贴上面的配置,启动即可。
使用简介
部署完成后,查看容器日志。如果看到类似下图的输出,就说明MicroWARP已经正常运行。
在局域网内的任意设备上,打开终端,用下面的命令测试代理是否生效(注意替换IP、用户名和密码):
curl -v -x 'socks5h://ydxian:你的密码@192.168.100.138:1080' https://www.cloudflare.com/cdn-cgi/trace
终端返回的信息较多,我们可以直接观察Docker日志中的请求记录,以此确认代理正在工作。
最后,在需要代理的应用(比如某个容器的环境变量或配置界面)中,填入对应的SOCKS5代理地址、端口、用户名和密码并保存,即可让该应用通过Cloudflare WARP的出口访问网络。
至此,MicroWARP的部署与使用已全部介绍完毕。