broadinstitute/cromiam Docker 镜像 - 轩辕镜像
broadinstitute/cromiamCromwell工作流管理系统的IAM(身份与访问管理)插件,提供身份验证、权限控制和安全访问管理功能,增强Cromwell在多用户环境下的安全性和访问控制能力。
0 次下载activebroadinstitute镜像
Cromwell IAM Addon 镜像文档
镜像概述
Cromwell IAM Addon 是为Cromwell工作流管理系统设计的身份与访问管理插件,旨在通过集成身份验证、权限控制和安全访问策略,提升Cromwell在多用户协作环境中的安全性、合规性和可管理性。该镜像与Cromwell原生架构无缝集成,无需修改Cromwell核心代码即可实现访问控制增强。
核心功能与特性
身份验证机制
- 支持多种身份验证协议:OAuth2.0、OpenID Connect、LDAP/Active Directory及API Key认证
- 支持单点登录(SSO)集成,兼容主流身份提供商(如Keycloak、Azure AD、Google Identity)
- 支持多因素认证(MFA)配置,增强用户身份验证安全性
权限控制
- 细粒度权限管理:支持基于用户/用户组的工作流、任务、资源(如存储、计算)访问权限控制
- 角色-based访问控制(RBAC):预设管理员、开发者、只读用户等角色,支持自定义角色创建
- 资源级权限:可针对特定工作流名称、标签、元数据或执行环境设置访问权限规则
安全审计与日志
- 完整审计日志:记录用户登录、权限变更、工作流访问/执行等操作日志
- 日志导出功能:支持将审计日志导出至ELK Stack、Splunk等日志分析平台
- 安全事件告警:支持配置异常访问行为告警(如多次认证失败、权限越权尝试)
集成能力
- 与Cromwell API无缝集成:通过拦截Cromwell API请求实现权限校验,不影响原有工作流执行逻辑
- 支持Cromwell Server和Cromwell CLI客户端访问控制
- 兼容Cromwell所有版本(v50+)
使用场景与适用范围
适用场景
- 多用户协作的Cromwell部署环境(如科研机构、高校实验室、企业研发团队)
- 对数据安全和访问合规性有严格要求的场景(如***、***、政务领域的工作流管理)
- 需要区分管理员、普通用户、访客等不同角色权限的Cromwell平台
适用范围
- 基于Docker/Kubernetes部署的Cromwell实例
- 单机或分布式Cromwell集群
- 云环境(AWS、Azure、GCP)或本地数据中心的Cromwell部署
使用方法与配置说明
前置条件
- 已部署Cromwell Server(v50+),且可通过网络访问
- 已准备身份提供商(如LDAP服务器、OAuth2服务)或API Key认证所需的密钥管理系统
- 宿主机需开放插件通信端口(默认8080/tcp)
Docker运行命令示例
基础运行命令
bashdocker run -d \ --name cromwell-iam-addon \ -p 8080:8080 \ -e CROMWELL_SERVER_URL="[***]" \ -e IAM_AUTH_PROVIDER="ldap" \ -e IAM_LDAP_URL="ldap://ldap-server:389" \ -e IAM_LDAP_BASE_DN="dc=example,dc=com" \ -v /path/to/iam-config:/etc/cromwell-iam/config \ -v /path/to/audit-logs:/var/log/cromwell-iam \ cromwell-iam-addon:latest
使用OAuth2认证的示例
bashdocker run -d \ --name cromwell-iam-addon \ -p 8080:8080 \ -e CROMWELL_SERVER_URL="[***]" \ -e IAM_AUTH_PROVIDER="oauth2" \ -e IAM_OAUTH2_CLIENT_ID="your-client-id" \ -e IAM_OAUTH2_CLIENT_SECRET="your-client-secret" \ -e IAM_OAUTH2_ISSUER_URL="[***]" \ -e IAM_OAUTH2_REDIRECT_URI="[***]" \ -v /path/to/oauth2-config:/etc/cromwell-iam/oauth2 \ cromwell-iam-addon:latest
环境变量配置
| 环境变量名 | 描述 | 可选值/示例 | 默认值 |
|---|---|---|---|
CROMWELL_SERVER_URL | Cromwell服务器API地址 | [***] | 无(必填) |
IAM_AUTH_PROVIDER | 身份验证提供者 | ldap, oauth2, api_key | api_key |
IAM_PORT | 插件服务端口 | 8080, 9090 | 8080 |
IAM_LOG_LEVEL | 日志级别 | DEBUG, INFO, WARN | INFO |
IAM_CONFIG_PATH | 配置文件路径(容器内) | /etc/cromwell-iam/config | /config |
IAM_AUDIT_LOG_PATH | 审计日志存储路径(容器内) | /var/log/cromwell-iam | /logs |
配置文件说明
插件支持通过配置文件(config.yaml)自定义权限规则和认证细节,示例配置如下:
yaml# 权限规则配置 permissions: roles: - name: "admin" permissions: ["workflow:create", "workflow:delete", "task:manage", "user:manage"] - name: "user" permissions: ["workflow:create", "workflow:read", "task:read"] - name: "viewer" permissions: ["workflow:read", "task:read"] user_roles: - user: "***" roles: ["admin"] - user_group: "research_team" roles: ["user"] # LDAP认证配置(当IAM_AUTH_PROVIDER=ldap时生效) ldap: user_search_base: "ou=users" user_filter: "(uid={username})" group_search_base: "ou=groups" group_filter: "(member={user_dn})" # API Key认证配置(当IAM_AUTH_PROVIDER=api_key时生效) api_key: key_file: "/etc/cromwell-iam/api-keys.json" # 存储API Key的JSON文件路径 header_name: "X-Cromwell-IAM-Key" # 客户端请求头中的API Key字段名
与Cromwell集成
-
配置Cromwell使用IAM插件:修改Cromwell配置文件(
application.conf),添加API拦截器:hoconcromwell { services { api { interceptors = [ { class = "com.example.cromwell.iam.IamApiInterceptor" config { iamServerUrl = "[***]" } } ] } } } -
重启Cromwell服务:使配置生效
-
验证集成:通过Cromwell CLI或API提交请求,验证权限控制是否生效
数据持久化
为确保配置和审计日志不丢失,建议挂载以下目录:
- 配置文件目录:
-v /host/path/to/config:/etc/cromwell-iam/config - 审计日志目录:
-v /host/path/to/logs:/var/log/cromwell-iam - API Key文件(若使用API Key认证):
-v /host/path/to/api-keys.json:/etc/cromwell-iam/api-keys.json
注意事项
- 确保Cromwell服务器与IAM插件之间网络连通,无防火墙限制
- 首次部署需初始化管理员账户(通过环境变量
IAM_INIT_ADMIN_USER指定) - 生产环境建议启用HTTPS,可通过添加反向代理(如Nginx)配置SSL证书
- 定期备份审计日志和配置文件,避免数据丢失
broadinstitute/gatk
by broadinstitute
这是用于GATK(基因组分析工具包)4.x版本的官方发布仓库,GATK作为生物信息学领域广泛应用的基因组数据分析工具包,其4.x系列版本的正式发布资源均集中于此,为科研人员及开发者提供可靠、规范的版本获取渠道,确保基因组变异检测、数据分析等相关工作能基于官方认证的工具版本高效开展。
11710M+ pulls
上次更新:9 个月前
broadinstitute/picard
by broadinstitute
用于处理高通量测序(HTS)数据及格式的Java命令行工具集。
91M+ pulls
上次更新:7 天前
broadinstitute/cromwell
by broadinstitute
支持WDL语言的工作流管理系统,可在多个平台后端运行
17100K+ pulls
上次更新:25 天前
broadinstitute/cromwell-drs-localizer
by broadinstitute
用于在任务虚拟机(VM)上下载DRS文件的Docker镜像,简化任务环境中DRS格式文件的获取流程。
1500K+ pulls
上次更新:25 天前
broadinstitute/gtex_rnaseq
by broadinstitute
GTEx RNA-seq流程:包含比对(STAR)、质量控制(RNA-SeQC)以及表达定量(RSEM和RNA-SeQC)功能的RNA-seq数据分析管道。
5100K+ pulls
上次更新:7 个月前
broadinstitute/cromwell-docker-test
by broadinstitute
暂无描述
100K+ pulls
上次更新:1 个月前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
MacOS OrbStack
MacOS OrbStack 容器配置
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"