Docker一键部署思源笔记：从安装到外网访问的完整指南（含路由侠配置）

Docker容器化部署思源笔记全流程实战：从本地搭建到安全外访

在个人知识管理工具百花齐放的今天，思源笔记以其开源可自托管的特性吸引了众多注重数据隐私的技术爱好者。作为一款支持端到端加密的Markdown笔记系统，它完美平衡了离线可用性与多端同步需求。本文将带你用Docker这一现代化部署方式，从零构建专属知识库，并解决外网访问的核心痛点。

1. 环境准备与Docker基础配置

在开始部署前，我们需要确保基础环境就绪。对于Linux用户（推荐Ubuntu 20.04+或CentOS 7+），Docker的安装可通过官方脚本快速完成：

# 卸载旧版本（如有） sudo apt-get remove docker docker-engine docker.io containerd runc # 安装依赖工具 sudo apt-get update sudo apt-get install ca-certificates curl gnupg lsb-release # 添加Docker官方GPG密钥 sudo mkdir -p /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg # 设置稳定版仓库 echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null # 安装Docker引擎 sudo apt-get update sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin

提示：Windows/macOS用户可直接下载Docker Desktop图形化工具，但生产环境建议使用Linux服务器以获得更好性能。

验证安装是否成功：

docker --version sudo docker run hello-world

若看到欢迎信息输出，说明Docker已就绪。为避免每次命令前加sudo，可将当前用户加入docker组：

sudo usermod -aG docker $USER newgrp docker # 立即生效无需重启

2. 思源笔记容器化部署详解

与传统安装方式相比，Docker部署具有环境隔离和一键还原的优势。以下是关键步骤的技术解析：

2.1 镜像获取与数据持久化

思源笔记官方镜像托管在Docker Hub的b3log仓库中：

docker pull b3log/siyuan:latest

为保障笔记数据安全，必须建立卷映射。推荐使用绝对路径创建数据目录：

mkdir -p /data/siyuan/workspace chmod 777 /data/siyuan # 确保容器有写入权限

2.2 容器启动参数解析

完整的运行命令包含多个关键参数：

docker run -d \ --name siyuan \ --restart unless-stopped \ -v /data/siyuan/workspace:/siyuan/workspace \ -p 6806:6806 \ b3log/siyuan \ --workspace=/siyuan/workspace/ \ --accessAuthCode StrongPassword123!

参数说明表：

警告：accessAuthCode若未设置，将允许任意IP无密码访问，存在严重安全风险！

2.3 服务验证与故障排查

启动后检查容器状态：

docker ps -a --filter "name=siyuan"

常见问题及解决方案：

1. 端口冲突：若6806已被占用，可修改左边端口号如-p 6807:6806
2. 权限拒绝：确保映射目录有写权限，或添加-u 1000:1000指定用户
3. 启动失败：查看日志定位原因docker logs siyuan

成功启动后，浏览器访问http://服务器IP:6806即可进入登录界面。首次使用建议：

• 立即修改默认密码
• 在设置中开启自动备份
• 配置云端同步（可选）

3. 高级配置与性能优化

3.1 使用Docker Compose管理服务

对于长期使用的生产环境，推荐采用docker-compose.yml统一管理：

version: '3' services: siyuan: image: b3log/siyuan container_name: siyuan restart: unless-stopped volumes: - /data/siyuan/workspace:/siyuan/workspace ports: - "6806:6806" command: - --workspace=/siyuan/workspace/ - --accessAuthCode=StrongPassword123!

启动命令简化为：

docker compose up -d

3.2 资源限制与监控

为防止笔记服务占用过多资源：

docker update \ --cpus 1 \ --memory 2g \ --memory-swap 3g \ siyuan

监控资源使用情况：

docker stats siyuan

3.3 备份策略实施

虽然思源笔记自带版本控制，但仍建议实施3-2-1备份原则：

1. 本地自动备份（容器内）

   # 进入容器执行备份 docker exec siyuan /siyuan/siyuan.sh --backup

2. 宿主机定期同步

   # 使用rsync同步到NAS rsync -avz /data/siyuan user@nas:/backup/

3. 云端加密存储（如rclone挂载）

4. 安全外网访问方案对比

实现外网访问需考虑安全性与易用性的平衡。以下是主流方案的横向对比：

4.1 基于Nginx的反向代理配置

若有域名和公网IP，这是最专业的解决方案：

server { listen 443 ssl; server_name notes.yourdomain.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; location / { proxy_pass http://localhost:6806; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }

关键安全措施：

• 使用Let's Encrypt免费SSL证书
• 配置基础认证

  auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd;

• 启用访问IP白名单

4.2 frp内网穿透实战

frp是开源界最流行的穿透工具，配置分为服务端(frps)和客户端(frpc)：

服务端配置（需云服务器）frps.ini：

[common] bind_port = 7000 vhost_http_port = 8080 token = YourSecureToken

客户端配置frpc.ini：

[common] server_addr = your.server.ip server_port = 7000 token = YourSecureToken [siyuan] type = http local_port = 6806 custom_domains = notes.yourdomain.com

启动命令：

# 服务端 ./frps -c frps.ini # 客户端 ./frpc -c frpc.ini

4.3 安全加固建议

无论采用哪种方案，都应遵循：

1. 最小权限原则：仅开放必要端口
2. 加密传输：强制HTTPS/SSL
3. 访问控制：IP限制+强密码
4. 日志监控：记录所有访问尝试
5. 定期更新：保持Docker和工具最新

对于个人用户，建议组合使用：

• 日常通过VPN访问内网服务
• 临时分享时启用有限期的穿透链接
• 重要数据始终加密备份