akeyless/zero-trust-bastion Docker 镜像 - 轩辕镜像
akeyless/zero-trust-bastionAkeyless零信任堡垒机通过Akeyless即时凭证(动态密钥和SSH证书签发器)提供对远程资源的零信任访问。
0 次下载activeakeyless镜像
Akeyless零信任堡垒机
Akeyless零信任堡垒机使用Akeyless即时凭证(动态密钥和SSH证书签发器)提供对远程资源的零信任访问。
快速开始
要运行Akeyless零信任堡垒机,只需运行以下容器命令:
bashdocker run --rm -itd \ -p 8888:8888 \ akeyless/zero-trust-bastion
服务将在端口:8888(或您选择映射的其他端口)上可用。
配置
支持一些配置以扩展默认功能。
使用Akeyless API网关
默认情况下,Akeyless零信任堡垒机通过[***]与Akeyless Vault通信。如果您的部署包含Akeyless API网关,可以使用它来访问远程资源:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AKEYLESS_URL=[***] \ akeyless/zero-trust-bastion
在这种情况下,[***]是Akeyless API网关公开的Akeyless API地址(默认端口为:8081)。
请注意,这不必与运行动态密钥生成器的API网关相同,它可以是任何公开可用的API网关。
使用特权凭证
为增强安全性和密钥隔离,可以授予Akeyless零信任堡垒机对即时凭证的读取权限,而实际用户对这些凭证仅具有列表访问权限。
确保为特权认证方法授予对所需凭证的足够权限(read能力)。实际最终用户对相同项目仅需具有list能力,因此他们永远无法获取实际凭证值,而Akeyless零信任堡垒机将代表他们获取。
目前,AWS IAM、Azure AD、GCP和API Key认证方法支持特权访问。
使用"固定用户"功能的零信任RDP访问
传统上,使用"固定用户"功能的RDP生成器依赖SAML子声明来确定要使用的Windows用户名。由于使用特权凭证时(特权凭证中未内置RDP用户名)可能存在问题,零信任堡垒机将使用最终用户凭证中的rdp_username子声明。如果您使用不同的子声明,可在部署时通过RDP_USERNAME_SUB_CLAIM环境变量指定:
docker run ... -e RDP_USERNAME_SUB_CLAIM=custom_user # 默认值:rdp_username
AWS IAM特权凭证
要使用AWS IAM类型的特权凭证,在AWS中设置Akeyless零信任堡垒机容器时,设置PRIVILEGED_ACCESS_ID环境变量:
docker run ... -e PRIVILEGED_ACCESS_ID=p-***ab
Azure AD特权凭证
要使用Azure AD类型的特权凭证,在Azure中设置Akeyless零信任堡垒机容器时,设置PRIVILEGED_ACCESS_ID环境变量:
docker run ... -e PRIVILEGED_ACCESS_ID=p-***ab
要使用特定的Azure对象ID进行认证,设置额外的环境变量:
docker run ... -e AZURE_OBJECT_ID=<object-id>
GCP特权凭证
要使用GCP类型的特权凭证,在GCP中设置Akeyless零信任堡垒机容器时,设置PRIVILEGED_ACCESS_ID环境变量:
docker run ... -e PRIVILEGED_ACCESS_ID=p-***ab
默认情况下,GCP认证使用akeyless.io受众。如果在GCP认证方法设置期间使用了不同的值,需相应设置GCP_AUDIENCE环境变量:
docker run ... -e GCP_AUDIENCE=<audience> # 默认值:akeyless.io
API Key特权凭证
要使用API Key类型的特权凭证,在设置Akeyless零信任堡垒机容器时,设置PRIVILEGED_ACCESS_ID和PRIVILEGED_ACCESS_KEY环境变量:
docker run ... \ -e PRIVILEGED_ACCESS_ID=p-***ab \ -e PRIVILEGED_ACCESS_KEY=something-something-secret-key
限制对特定访问ID的访问
使用特权凭证时,建议显式指定允许访问受特权凭证保护的密钥的访问ID。
默认情况下,所有访问ID均被接受。要指定访问ID,使用ALLOWED_ACCESS_IDS环境变量:
ALLOWED_ACCESS_IDS=p=000011112222 ALLOWED_ACCESS_IDS=p=000011112222,p-aabbccddeeff
暴露RDP会话录制文件
每个RDP会话都会被录制并保存在容器内。要访问录制文件,将本地目录挂载到容器内的/home/akeyless/recordings路径:
bashdocker run --rm -itd \ -p 8888:8888 \ -v $PWD/recordings:/home/akeyless/recordings \ akeyless/zero-trust-bastion
此时,当前工作目录中将创建recordings文件夹,所有会话录制文件将在每个会话结束后保存在其中。
请注意:RDP会话录制文件会占用大量存储空间。请确保设置备份/清理流程以确保使用体验。
自动上传录制文件到S3/Azure Blob存储
可以将会话录制文件自动上传到AWS账户中的S3或Azure账户中的Blob存储。
对于每种云服务,有两种配置方式:
- 在AWS/Azure机器上部署Akeyless零信任堡垒机,并为Amazon/Azure 使用具有足够权限的IAM角色,以将新文件上传到所选的S3存储桶/Azure Blob存储。然后,创建容器时提供环境变量:对于Amazon,提供
AWS_REGION、AWS_S3_BUCKET和AWS_S3_PREFIX;对于Azure,提供AZURE_STORAGE_ACCOUNT和AZURE_STORAGE_CONTAINER_NAME。所有录制文件将上传到指定存储:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AWS_REGION=us-east-1 \ -e AWS_S3_BUCKET=my-bucket \ -e AWS_S3_PREFIX=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
bashdocker run --rm -itd \ -p 8888:8888 \ -e AZURE_STORAGE_ACCOUNT=srarecords \ -e AZURE_STORAGE_CONTAINER_NAME=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
- 或者,使用显式凭证运行容器。此方法不推荐,但仍可行:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AWS_ACCESS_KEY_ID=******************** \ -e AWS_SECRET_ACCESS_KEY=**************************************** \ -e AWS_REGION=us-east-1 \ -e AWS_S3_BUCKET=my-bucket \ -e AWS_S3_PREFIX=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
bashdocker run --rm -itd \ -p 8888:8888 \ -e AZURE_TENANT_ID=******************** \ -e AZURE_CLIENT_ID=******************** \ -e AZURE_CLIENT_SECRET=**************************************** \ -e AZURE_STORAGE_ACCOUNT=srarecords \ -e AZURE_STORAGE_CONTAINER_NAME=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
无论选择哪种方法,每个会话结束后,录制文件除了通过卷挂载到本地目录(/home/akeyless/recordings)外,还会上传到S3。
上传状态会反映在容器日志中。如果出现问题,请检查日志中的错误信息。
构建
所有内容都打包在单个Docker容器中。要在本地构建,请克隆此项目并运行:
bashdocker build --tag akeyless/zero-trust-bastion .
demisto/trustar
by Demisto, A Palo Alto Networks Company
认证
暂无描述
100K+ pulls
上次更新:11 个月前
docker/trusttest
by Docker, Inc.
认证
用于支持Docker官方文档中Docker引擎安全信任沙箱相关内容的示例镜像
1M+ pulls
上次更新:10 年前
aptrust/apt_fixity
by Academic Preservation Trust
用于保存服务代码的完整性校验服务
50K+ pulls
上次更新:28 天前
aptrust/registry
by Academic Preservation Trust
暂无描述
10K+ pulls
上次更新:28 天前
cleanstart/trust-manager
by CleanStart
认证
Trust Manager 是 Kubernetes 环境下的证书管理运算符,用于自动化 X.509 证书生命周期管理与轮换,基于安全加固的 CleanStart 轻量级基础 OS,支持多证书颁发机构集成、安全密钥存储,适用于云原生应用的安全通信与零信任架构。
10K+ pulls
上次更新:4 天前
aptrust/ingest_staging_uploader
by Academic Preservation Trust
暂无描述
10K+ pulls
上次更新:28 天前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"