使用 Docker 一键部署火山引擎 Sandbox-Fusion，并开放 8182 端口

前言

在私有化部署 Dify 的过程中，推荐使用 火山引擎开源的 Sandbox-Fusion 镜像，因为它已经内置了所有必需的依赖、隔离机制与安全防护。
本文将手把手带你用 两行命令 完成镜像拉取、容器启动与防火墙端口放行，并补充一些常见坑点，助你 3 分钟搞定沙箱环境。

一行命令启动 Sandbox-Fusion

docker run -d \
  --name sandbox-fusion \
  --restart always \
  -p 8182:8080 \
  volcengine/sandbox-fusion:server-20250609

参数解读

• -d：后台运行
• --name：容器名称，方便后续 docker logs / docker exec
• --restart always：宿主机重启后自动拉起
• -p 8182:8080：把容器内的 8080 端口映射到宿主机的 8182 端口（与 Dify 默认配置保持一致）
• volcengine/sandbox-fusion:server-20250609：官方镜像，带 server- 前缀的 tag 为服务端版本

一行命令放行 8182 端口

如果你的宿主机启用了 iptables（例如 CentOS、Alibaba Cloud、部分 Debian/Ubuntu），需要手动把 8182 端口加入白名单：

sudo iptables -I INPUT 8 \
  -m state --state NEW -p tcp --dport 8182 -j ACCEPT

参数解读

• -I INPUT 8：把本条规则插入到 INPUT 链的第 8 位（序号可根据实际 iptables -L --line-number 调整）
• -m state --state NEW：仅放行新建连接
• -p tcp --dport 8182：指定 TCP 协议、目标端口 8182
• -j ACCEPT：直接放行

Tips
使用 firewalld 的系统请替换为 firewall-cmd --permanent --add-port=8182/tcp && firewall-cmd --reload。

结语

至此，你已经拥有了一个 高可用、易维护 的 Dify 插件沙箱环境。两行命令，三分钟上线，赶快去 Dify 里跑一段 Python 代码试试吧！