防火墙
Coolify 在各种环境中正常运行需要开放特定的网络端口。这些端口支持 Web 访问、SSH 连接、终端会话和实时通信。
根据您使用的是自托管设置还是托管版本(Coolify 云),所需的端口可能略有不同。
Coolify 自托管
自托管 Coolify 时,为确保正常功能,应开放以下端口:
- 8000 – Coolify 仪表板的 HTTP 访问
- 6001 – 实时通信
- 6002 – 终端访问(Coolify 4.0.0-beta.336 及以上版本需要)
- 22 – SSH 访问(或您的自定义 SSH 端口)
- 80 – 通过反向代理(Traefik 或 Caddy)生成 SSL 证书
- 443 – HTTPS 流量
如果您直接使用服务器的 IP 地址访问 Coolify(例如:http://<SERVER_IP>:8000),则需要这些端口。
提示
如果您使用自定义域名和 Coolify 的集成反向代理(Traefik 或 Caddy),在通过自定义域名访问仪表板后,您可以安全地关闭端口 8000、6001 和 6002。
警告
如果您使用 Oracle Cloud Free ARM Server,您需要在 Oracle 仪表板中允许这些端口,否则安装后您将无法从互联网访问您的实例。
Coolify 云
对于连接到 Coolify 云的服务器,必须开放以下端口:
- 22 – SSH 访问(或您的自定义 SSH 端口)
- 80 – 通过反向代理(Traefik 或 Caddy)生成 SSL 证书
- 443 – HTTPS 流量
这些是唯一需要的端口,因为 Coolify 云会为您管理所有其他服务。
使用防火墙关闭端口
Coolify 在 Docker 上运行,Docker 使用基于 NAT 的 iptables 规则,可以绕过传统的 Linux 防火墙(如 UFW)。因此,仅使用 UFW 阻止端口不会有效。
推荐方法
大多数云提供商通过其仪表板提供集成防火墙。如果您的提供商支持此功能,强烈建议使用其防火墙设置来管理开放端口,而不是依赖 UFW 等本地工具。
如果您的提供商不提供防火墙功能,您可以使用以下高级方法之一:
Coolify 自托管
警告!!
不正确地修改防火墙设置可能导致难以恢复的访问问题。
仅在必要时并且完全理解影响的情况下执行以下步骤。
使用 ufw-docker
ufw-docker 是一个社区维护的工具,通过允许您有效地阻止特定端口来帮助连接 UFW 和 Docker。有关完整的设置说明,请参阅 GitHub 存储库。
Coolify 云
对于连接到 Coolify 云的服务器,仅需开放 SSH 端口(通常为 22)用于远程管理。
如果您希望基于 IP 地址限制访问,我们提供了 Coolify 云使用的公共 IP 列表:
Coolify 云的 IP 很少更改,但如果发生更新,用户将通过电子邮件收到通知。
GitHub 集成
GitHub 使用 webhook 与 Coolify 通信。为此正常工作:
- 确保开放 TCP 端口 80 和 443。
- (可选)要按 IP 限制 webhook 访问,您可以从以下链接获取 GitHub 出站 IP 的当前列表:https://api.github.com/meta(检查
hooks部分)
有关更多详细信息,请参阅他们的文档