2026/4/21大约 1 分钟
开启应用网关服务
该示例使用 Gvisor 用户空间网络模式开启应用网关服务。应用网关依赖 DNS 解析,可在 dns 中按实际网络环境配置可用的上游 DNS 服务器,并按实际团队域名修改 dns_search。
使用前请先在同目录准备 .env 文件,并填写飞网控制面板创建的授权密钥:
GM_TOKEN=gmzta-authkey-xxxxGvisor 模式启动:
docker compose -f 06-gvisor-app.yaml up -dTUN 模式启动:
docker compose -f 06-tun-app.yaml up -d注意:
- 使用此功能需确保当前设备为设备组设备,请使用带设备组的
GM_TOKEN。 - 在飞网控制面板中新建应用网关,访问“飞网控制面板”-“应用网关”-添加网关-“网关名称”-“域名白名单”选择自动关联设备组。
- 可选配置自动审批,当自动发现新的域名解析地址时可以自动许可,访问“飞网控制面板”-“访问控制”-增加自动审批。
- 需在飞网控制面板及时批准对应的应用网关。
验证:
- 访问应用网关授权的白名单域名,根据实际配置内容测试。
- 看到
appc: handling domains: [] and wildcards: [qq.com]类似日志,说明应用规则已经下发。
Gvisor 模式配置文件:
version: "3.7"
services:
# 容器对外提供服务(如 in/service/webdav/appout),用户空间模式通常可以工作,因为这些功能主要依赖飞网自身的代理能力,而非内核路由。
gmzta-gvisor-app:
image: registry.cn-beijing.aliyuncs.com/gmzta/gmzta:latest
container_name: gmzta-gvisor-app
hostname: gmzta-gvisor-app
# 按实际网络环境配置可用的上游 DNS 服务器。
dns:
- 8.8.8.8
dns_search: # 指定飞网域名后缀,确保容器内应用能够正确解析飞网内的服务地址,例如 testteam.gmzta.net
- testteam.gmzta.net
environment:
- GM_TOKEN=${GM_TOKEN}
- GM_CONFIG_DIR=/var/lib/gmzta
- GM_TUN=false
- GM_GMZTA_EXTRA_ARGS=--appout=true
volumes:
- ./gmzta/state:/var/lib/gmzta
restart: on-failure:3TUN 模式配置文件:
version: "3.7"
services:
gmzta-tun-app:
image: registry.cn-beijing.aliyuncs.com/gmzta/gmzta:latest
container_name: gmzta-tun-app
hostname: gmzta-tun-app
network_mode: host
cap_add:
- NET_ADMIN
- NET_RAW
devices:
- /dev/net/tun:/dev/net/tun
dns:
- 8.8.8.8
dns_search:
- testteam.gmzta.net
environment:
- GM_TOKEN=${GM_TOKEN}
- GM_CONFIG_DIR=/var/lib/gmzta
- GM_TUN=true
- GM_GMZTA_EXTRA_ARGS=--appout=true
volumes:
- ./gmzta/tun-app:/var/lib/gmzta
restart: on-failure:3