在实际部署私有DevOps平台时,OneDev 是一个非常值得推荐的轻量级 Git 服务器和 CI 工具。然而,在搭建基于 Cloudflare Tunnel 的远程访问环境时,我们遇到了一个令人困惑的问题:使用 Docker push 推送镜像到通过 Cloudflare Tunnel 暴露出来的 OneDev 实例会失败

经过多次排查与验证,最终确认问题的根源在于 Cloudflare 的默认设置——Cloudflare Tunnel 对请求的 body(即数据包大小)有默认的限制,这在正常浏览器访问或 API 请求时并不明显,但在类似 Docker 镜像 push 的场景中,由于数据量巨大,便极易触发此限制。

问题复现

我们的部署环境如下:

  • OneDev 部署在内网服务器上,并通过 Docker 运行。

  • 为了避免公网暴露服务器,采用 Cloudflare Tunnel 将 OneDev 暴露为一个子域名,例如 git.example.com

  • 使用如下命令推送镜像至 OneDev:

docker push git.example.com/group/project/image:tag

结果却失败,提示如下类似错误:

unexpected EOF
error parsing HTTP 413 response body

问题分析

Cloudflare Tunnel 是通过 cloudflared 客户端将内网服务暴露给外部,走的是 Cloudflare 的边缘网络和反向代理。而 Cloudflare 本身出于安全和性能的考虑,限制了 HTTP 请求体的大小(默认约为 100 MB 左右),这在文件上传、大型数据传输、Docker 镜像推送等场景中会导致失败。

Docker push 操作会打包镜像中的多个 layer,并通过一系列 HTTP 请求上传到服务器。在镜像较大或 layer 较大时,极易超过 Cloudflare Tunnel 的传输限制,最终导致失败。

官方说明

Cloudflare 官方文档明确指出:

HTTP body size is limited in Cloudflare Tunnels. For large uploads or streaming scenarios, Cloudflare Tunnel is not recommended.

解决方案

推荐的解决方式是绕开 Cloudflare Tunnel,改用直接的内网连接或 VPN 网络进行镜像推送。

✅ 方法一:内网直连

如果 push 操作是在内网环境中进行的,建议使用内网 IP 或域名访问 OneDev,而非走 Cloudflare 的公网 Tunnel。配置如下:

docker push 192.168.1.100:5000/group/project/image:tag

✅ 方法二:搭建 VPN(如 WireGuard)

如果客户端不在同一局域网,可以部署一个轻量级 VPN(如 WireGuard),将开发机加入同一网络后进行 push。这样既能避免 Cloudflare 的限制,又保证安全性。

总结

Cloudflare Tunnel 是连接内外网络的便捷方案,但并不适合所有场景,特别是不适合大文件传输或大流量场景,如 Docker 镜像上传、CI/CD 构建缓存传输等。

在 OneDev 的实际使用中,建议:

  • 代码浏览、Web 管理等使用 Cloudflare Tunnel 提供公网访问;

  • 镜像上传、CI/CD 推送等使用内网或 VPN 路由绕开 Cloudflare Tunnel。

后续建议

  • 可以考虑将镜像推送与 Web 界面服务分离,分别部署对应的域名与网络环境。

  • 若需要公网访问 Docker 镜像服务,建议使用专业的镜像仓库服务(如 Harbor 并配置 TLS)并暴露至公网,或设置 nginx 反向代理并放宽请求体限制(不适用于 Cloudflare Tunnel)。

如果你也在使用 OneDev 和 Cloudflare Tunnel,相信这篇文章能帮你节省不少排查时间。欢迎留言交流!