akeyless/zero-trust-bastion-test Docker 镜像 - 轩辕镜像
akeyless/zero-trust-bastion-testAkeyless Zero Trust Bastion提供使用Akeyless JIT凭证(动态密钥和SSH证书签发者)对远程资源的零信任访问。
0 次下载activeakeyless镜像
Akeyless Zero Trust Bastion
镜像概述和主要用途
Akeyless Zero Trust Bastion提供使用Akeyless JIT凭证(动态密钥和SSH证书签发者)对远程资源的零信任访问。
快速开始
要运行Akeyless Zero Trust Bastion,只需运行容器:
bashdocker run --rm -itd \ -p 8888:8888 \ akeyless/zero-trust-bastion
服务将在端口:8888(或您选择映射的任何其他端口)上可用。
配置说明
使用Akeyless API网关
默认情况下,Akeyless Zero Trust Bastion使用[***]与Akeyless Vault通信。如果您的部署包含Akeyless API网关,可以使用它访问远程资源:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AKEYLESS_URL=[***] \ akeyless/zero-trust-bastion
其中[***]是Akeyless API网关公开的Akeyless API地址(默认端口:8081)。请注意,这不必与运行动态密钥生成器的API网关相同,可以是任何公开可用的API网关。
使用特权凭证
为增强安全性和密钥隔离,可以授予Akeyless Zero Trust Bastion对即时凭证的读取权限,而实际用户仅对其具有列出权限。需确保为特权认证方法授予对所需凭证的足够权限(读取权限),实际最终用户对相同项目仅需具有列出权限,因此他们不会获取实际值,由Bastion代表执行访问。
具有“固定用户”功能的零信任RDP访问
使用“固定用户”功能的RDP生成器依赖SAML子声明确定Windows用户名。使用特权凭证时,Zero-Trust Bastion将使用最终用户凭证中的rdp_username子声明。若使用不同子声明,可在部署时通过RDP_USERNAME_SUB_CLAIM环境变量指定:
docker run ... -e RDP_USERNAME_SUB_CLAIM=custom_user # 默认:rdp_username
AWS IAM特权凭证
在AWS中设置容器时,通过PRIVILEGED_ACCESS_ID环境变量指定AWS IAM类型的特权凭证:
docker run ... -e PRIVILEGED_ACCESS_ID=p-***ab
Azure AD特权凭证
在Azure中设置容器时,通过PRIVILEGED_ACCESS_ID环境变量指定Azure AD类型的特权凭证:
docker run ... -e PRIVILEGED_ACCESS_ID=p-***ab
如需使用特定Azure对象ID认证,添加AZURE_OBJECT_ID环境变量:
docker run ... -e AZURE_OBJECT_ID=<object-id>
GCP特权凭证
在GCP中设置容器时,通过PRIVILEGED_ACCESS_ID环境变量指定GCP类型的特权凭证:
docker run ... -e PRIVILEGED_ACCESS_ID=p-***ab
默认GCP认证使用akeyless.io受众,若设置时使用不同值,通过GCP_AUDIENCE环境变量指定:
docker run ... -e GCP_AUDIENCE=<audience> # 默认:akeyless.io
API Key特权凭证
设置容器时,通过PRIVILEGED_ACCESS_ID和PRIVILEGED_ACCESS_KEY环境变量指定API Key类型的特权凭证:
docker run ... \ -e PRIVILEGED_ACCESS_ID=p-***ab \ -e PRIVILEGED_ACCESS_KEY=something-something-secret-key
限制对特定访问ID的访问
使用特权凭证时,建议通过ALLOWED_ACCESS_IDS环境变量显式指定允许访问受保护密钥的访问ID,默认接受所有访问ID:
ALLOWED_ACCESS_IDS=p=000011112222 ALLOWED_ACCESS_IDS=p=000011112222,p-aabbccddeeff
暴露RDP会话录制
每个RDP会话会被录制并保存在容器内。通过挂载本地目录到容器内/home/akeyless/recordings路径访问录制文件:
bashdocker run --rm -itd \ -p 8888:8888 \ -v $PWD/recordings:/home/akeyless/recordings \ akeyless/zero-trust-bastion
当前工作目录会创建recordings文件夹,所有会话录制在会话结束时可用。请注意:RDP会话录制占用大量存储空间,需设置备份/清理流程。
自动上传录制到S3/Azure Blob Storage
可将会话录制自动上传到AWS S3或Azure Blob存储,支持两种方式:
方法1:使用IAM角色(推荐)
在AWS/Azure机器上部署Bastion,使用具有上传权限的IAM角色,指定环境变量:
AWS S3:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AWS_REGION=us-east-1 \ -e AWS_S3_BUCKET=my-bucket \ -e AWS_S3_PREFIX=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
Azure Blob Storage:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AZURE_STORAGE_ACCOUNT=srarecords \ -e AZURE_STORAGE_CONTAINER_NAME=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
方法2:使用显式凭证(不推荐)
AWS S3:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AWS_ACCESS_KEY_ID=******************** \ -e AWS_SECRET_ACCESS_KEY=**************************************** \ -e AWS_REGION=us-east-1 \ -e AWS_S3_BUCKET=my-bucket \ -e AWS_S3_PREFIX=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
Azure Blob Storage:
bashdocker run --rm -itd \ -p 8888:8888 \ -e AZURE_TENANT_ID=******************** \ -e AZURE_CLIENT_ID=******************** \ -e AZURE_CLIENT_SECRET=**************************************** \ -e AZURE_STORAGE_ACCOUNT=srarecords \ -e AZURE_STORAGE_CONTAINER_NAME=akeyless-zero-trust-bastion \ akeyless/zero-trust-bastion
无论哪种方法,会话结束时录制会上传到指定存储,同时通过卷挂载在/home/akeyless/recordings下也可访问。上传状态反映在容器日志中,异常时可检查日志。
构建
所有内容打包为单个Docker容器。本地构建步骤:克隆项目后运行:
bashdocker build --tag akeyless/zero-trust-bastion .
docker/trusttest
by Docker, Inc.
认证
用于支持Docker官方文档中Docker引擎安全信任沙箱相关内容的示例镜像
1M+ pulls
上次更新:10 年前
demisto/trustar
by Demisto, A Palo Alto Networks Company
认证
暂无描述
100K+ pulls
上次更新:11 个月前
aptrust/apt_fixity
by Academic Preservation Trust
用于保存服务代码的完整性校验服务
50K+ pulls
上次更新:28 天前
aptrust/registry
by Academic Preservation Trust
暂无描述
10K+ pulls
上次更新:28 天前
cleanstart/trust-manager
by CleanStart
认证
Trust Manager 是 Kubernetes 环境下的证书管理运算符,用于自动化 X.509 证书生命周期管理与轮换,基于安全加固的 CleanStart 轻量级基础 OS,支持多证书颁发机构集成、安全密钥存储,适用于云原生应用的安全通信与零信任架构。
10K+ pulls
上次更新:7 天前
aptrust/ingest_staging_uploader
by Academic Preservation Trust
暂无描述
10K+ pulls
上次更新:28 天前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"