【开源项目】Docker一键部署WireGuard VPN：WG-Easy可视化管理教程

随着远程办公、跨地域访问和网络隐私保护的需求激增，VPN成为个人和企业的必备网络基础设施。传统WireGuard VPN配置需要大量命令行操作，门槛较高，而WG-Easy（WireGuard Easy）作为轻量级开源工具，将WireGuard的高性能与Web可视化管理深度结合，基于Docker容器化实现一键部署，让零基础用户也能快速搭建属于自己的VPN服务，完美解决远程访问家庭NAS、企业内网互通、跨地域网络资源访问等问题。

本文将详细讲解WG-Easy的核心优势、部署环境要求、Docker快速部署步骤、客户端配置及监控搭建，全程步骤清晰，新手可直接跟着操作。

WG-Easy是专为WireGuard打造的可视化管理工具，核心设计理念为开箱即用、可视化优先、性能卓越、安全可靠，相比传统WireGuard和其他VPN方案，优势十分突出：

1. Docker一键部署：无需复杂环境配置，一条命令即可启动完整VPN服务，支持Docker Compose持久化部署，适合生产环境；
2. 全可视化操作：Web管理面板覆盖客户端创建、编辑、禁用、删除全流程，告别手写配置文件，零基础也能上手；
3. 多端快速接入：自动生成客户端配置二维码和临时分享链接，手机、电脑扫码即可连接，分享链接自动失效，兼顾便捷性和安全性；
4. 实时监控与运维：支持客户端在线状态、上传/下载流量实时查看，原生兼容Prometheus+Grafana，可搭建专业监控体系；
5. 高安全性：继承WireGuard公钥认证、现代加密算法（ChaCha20-Poly1305），支持TOTP双因素认证，代码简洁易审计，无密码和证书链复杂度；
6. 多特性适配：支持IPv4/IPv6双栈、多语言自动适配、深浅色模式，满足不同用户使用习惯；
7. 轻量高性能：基于WireGuard内核态协议，延迟低、吞吐高，资源占用远低于OpenVPN，媲美直连网络速度。

WG-Easy对服务器配置要求极低，普通轻量云服务器即可满足，推荐配置如下：

• 服务器类型：云服务器（VPS/轻量云）、物理机均可；
• 操作系统：Ubuntu 22.04 LTS（推荐），Ubuntu 20.04+也支持；
• 网络要求：拥有公网IP或已解析的域名；
• 软件环境：已安装Docker、Docker Compose（必备）；
• 内核支持：Linux Kernel ≥ 5.6（内置WireGuard），Ubuntu 20.04+默认支持。

部署前需确认服务器内核支持WireGuard，执行以下命令：

# 查看内核版本
uname -r
# 加载WireGuard内核模块
modprobe wireguard
# 验证加载是否成功
lsmod | grep wireguard

若加载失败，检查内核版本或云厂商是否裁剪了内核模块。

WG-Easy需要开放两个端口，UDP 51820（WireGuard通信端口） 和TCP 51821（Web管理界面端口），同时需确保服务器出口网络可访问公网（用于VPN流量转发）。

Ubuntu/Debian系统通过ufw开放端口：

sudo ufw allow 51820/udp comment 'WireGuard VPN'
sudo ufw allow 51821/tcp comment 'WG-Easy Web UI'

注意：若使用云服务器（阿里云、腾讯云、华为云等），需在云厂商控制台的安全组中同步放行上述端口，否则会导致访问失败。

WG-Easy提供两种Docker部署方式，命令行部署适合快速测试，Docker Compose部署支持配置持久化，适合生产环境长期使用，以下为详细步骤。

1. 创建专属Docker网络（支持IPv4/IPv6）：

   docker network create \
     -d bridge --ipv6 \
     --subnet 10.42.42.0/24 \
     --subnet fdcc:ad94:bacf:61a3::/64 \
     wg

2. 启动WG-Easy容器：

   docker run -d \
     --net wg \
     -e INSECURE=true \
     --name wg-easy \
     --ip6 fdcc:ad94:bacf:61a3::2a \
     --ip 10.42.42.42 \
     -v ~/.wg-easy:/etc/wireguard \
     -v /lib/modules:/lib/modules:ro \
     -p 51820:51820/udp \
     -p 51821:51821/tcp \
     --cap-add NET_ADMIN \
     --cap-add SYS_MODULE \
     --sysctl net.ipv4.ip_forward=1 \
     --sysctl net.ipv4.conf.all.src_valid_mark=1 \
     --sysctl net.ipv6.conf.all.disable_ipv6=0 \
     --sysctl net.ipv6.conf.all.forwarding=1 \
     --sysctl net.ipv6.conf.default.forwarding=1 \
     --restart unless-stopped \
     ghcr.io/wg-easy/wg-easy:15

3. 访问Web管理界面：浏览器输入http://服务器公网IP:51821，即可进入WG-Easy可视化管理面板。

1. 安装Docker Compose：

   sudo apt install -y docker-compose-plugin

2. 创建配置目录：

   mkdir ~/wg-easy/ && cd ~/wg-easy/

3. 下载官方Compose配置文件：

   sudo curl -o docker-compose.yml https://raw.githubusercontent.com/wg-easy/wg-easy/master/docker-compose.yml

4. 修改配置文件：编辑docker-compose.yml，取消environment节点下INSECURE的注释，并设置为true（允许HTTP访问管理界面），完整配置如下：

   volumes:
     etc_wireguard:
   services:
     wg-easy:
       environment:
         - INSECURE=true
       image: ghcr.nju.edu.cn/wg-easy/wg-easy:15
       container_name: wg-easy
       networks:
         wg:
           ipv4_address: 10.42.42.42
           ipv6_address: fdcc:ad94:bacf:61a3::2a
       volumes:
         - etc_wireguard:/etc/wireguard
         - /lib/modules:/lib/modules:ro
       ports:
         - "51820:51820/udp"
         - "51821:51821/tcp"
       restart: unless-stopped
       cap_add:
         - NET_ADMIN
         - SYS_MODULE
       sysctls:
         - net.ipv4.ip_forward=1
         - net.ipv4.conf.all.src_valid_mark=1
         - net.ipv6.conf.all.disable_ipv6=0
         - net.ipv6.conf.all.forwarding=1
         - net.ipv6.conf.default.forwarding=1
   networks:
     wg:
       driver: bridge
       enable_ipv6: true
       ipam:
         driver: default
         config:
           - subnet: 10.42.42.0/24
           - subnet: fdcc:ad94:bacf:61a3::/64

5. 启动服务：

   # 后台启动容器
   docker compose up -d
   # 查看容器运行日志
   docker compose logs -f wg-easy
   # 查看容器状态
   docker compose ps

6. 访问管理界面：同样输入http://服务器公网IP:51821，进入可视化面板。

部署完成后，首次访问会进入安装向导，全程可视化操作，步骤如下：

输入用户名和强密码，此账号为管理面板唯一登录凭证，建议妥善保存。

选择无现有配置，输入服务器公网域名/IP和WireGuard通信端口（默认51820），点击检测，检测通过后点击继续，完成基础配置。

1. 新建客户端：进入客户端管理，点击新建，输入客户端名称（如iPhone、Windows-PC），选择有效期（推荐永久有效），点击创建，自动生成客户端公钥、配置二维码和下载链接。
2. 配置路由规则（关键）：编辑客户端配置，在允许的IP中设置流量转发规则，推荐两种模式：

   # 模式1：全局代理（所有流量走VPN）
   0.0.0.0/0, ::/0
   # 模式2：分流模式（推荐，仅内网流量走VPN，外网直连）
   10.42.42.0/24  # WireGuard内网
   10.7.0.0/22    # 服务器内网
   172.17.0.0/24  # Docker网络
   192.168.1.0/24 # 家庭网络（可根据实际修改）

   分流模式优势：节省VPN服务器带宽、访问国内网站速度更快、避免全局代理的网络延迟。

3. 客户端接入：手机端扫描配置二维码，电脑端下载配置文件导入WireGuard客户端，即可完成连接，全程无需手动修改配置。

WG-Easy原生支持Prometheus监控，可接入Grafana实现流量、在线状态、连接数的可视化监控，步骤如下：

进入管理面板 → 通用设置 → Prometheus，开启监控开关，设置监控密码，点击保存更改。

编辑Prometheus配置文件，添加WG-Easy采集任务：

scrape_configs:
  - job_name: 'wg-easy'
    scrape_interval: 30s
    metrics_path: /metrics/prometheus
    static_configs:
      - targets: ['服务器IP:51821']
    authorization:
      type: Bearer
      credentials: '第一步设置的监控密码'

重启Prometheus，完成指标采集。

1. 进入Grafana → Dashboards → Import；
2. 输入官方仪表盘ID：21733，点击Load；
3. 选择关联的Prometheus数据源，点击Import，即可看到WG-Easy的实时监控面板，包括在线客户端数、流量吞吐、连接时长等指标。

WG-Easy支持Windows、macOS、iOS、Android、Linux全平台，客户端下载地址如下，安装后直接导入配置文件/扫描二维码即可使用：

WG-Easy轻量、灵活、易管理的特性，使其适用于多种场景，是个人和小型团队的首选VPN方案：

1. 远程办公/企业内网访问：安全访问公司内网Git、Jenkins、数据库、K8s集群等服务，无需复杂的企业级VPN配置；
2. 家庭网络远程访问：在外安全访问家中NAS、路由器、智能家居、监控摄像头，解决家庭网络公网访问难题；
3. 跨地域统一出口：多终端统一VPN出口IP，访问跨地域网络资源（如海外服务、企业分支机构资源）；
4. 小型团队VPN管理：无需专业网络运维，团队管理员可通过可视化面板快速创建、管理员工客户端，按需禁用/删除；
5. 测试/沙箱环境：快速搭建临时VPN，随用随删，配置可追溯，适合开发、测试环境的网络隔离。

很多用户会纠结VPN协议的选择，以下为WireGuard、IPsec、OpenVPN三大主流方案的核心对比，帮助你根据需求选择：

• 选WireGuard（WG-Easy）：追求极致性能、移动场景（4G/5G/WiFi切换）、简单部署、资源受限设备（物联网/嵌入式）；
• 选IPsec：企业合规要求高（FIPS认证）、分支机构与总部站点互联、需与老旧设备兼容；
• 选OpenVPN：严格防火墙环境（可伪装HTTPS）、需要灵活认证（用户名密码/双因素）、细粒度访问控制。

WG-Easy是WireGuard VPN的最佳可视化管理工具，以Docker容器化为基础实现一键部署，将传统WireGuard的配置门槛大幅降低，真正做到零配置、零门槛、快速上手。无论是零基础个人搭建家庭VPN，还是小型团队实现远程办公内网互通，WG-Easy都能提供简洁、高效、安全的解决方案，兼顾性能、便捷性和安全性，是目前最值得推荐的轻量级VPN部署工具。

相比其他VPN方案，WG-Easy的核心价值在于可视化管理+轻量高性能，无需专业的网络知识，就能在几分钟内搭建起可用的VPN服务，同时支持监控、双因素认证、多端适配等高级特性，满足个人和企业的多样化需求。