ghcr.io/cloudnative-pg/postgresql:18.4-system-bookworm...

热门搜索:

ghcr.iolinux/amd6418.4-system-bookworm大小: 未知更新于 2026年5月23日

[!IMPORTANT] 自 2025 年 8 月起，由 PostgreSQL Docker 社区维护的官方 Postgres 镜像已停止对 Debian bullseye 的支持。作为响应，CloudNativePG 项目已完成所有系统镜像向新的基于 bake 的构建流程的过渡。我们现在直接基于官方 Debian slim 镜像构建，完全脱离官方 Postgres 镜像。

CNPG PostgreSQL 容器镜像

本仓库提供维护脚本，用于为所有受支持的 PostgreSQL 主版本生成不可变应用容器：

版本	发布日期	终止支持日期（EOL）
18	2025-09-25	2030-11-14
17	2024-09-26	2029-11-08
16	2023-09-14	2028-11-09
15	2022-10-13	2027-11-11
14	2021-09-30	2026-11-12
13	2020-09-24	2025-11-13

这些镜像旨在作为 Kubernetes 环境中 CloudNativePG (CNPG) 运算符的操作数，不适合独立使用。

已弃用的滚动标签

由于历史原因，系统镜像还包含两个额外的滚动标签：

system- MM.mm：特定PostgreSQL次要版本（例如16.10）在Debian bullseye上的最新系统镜像。
MM：特定PostgreSQL主要版本（例如16）在Debian bullseye上的最新系统镜像。

[!IMPORTANT] 这些标签已弃用，将在bullseye镜像达到生命周期结束时移除。请迁移到明确包含镜像类型和发行版版本的受支持标签格式（例如16.10-minimal-trixie）。

镜像目录

CloudNativePG在制品仓库中发布CloudNativePG的ClusterImageCatalog清单，每个受支持的镜像类型和操作系统版本组合都有一个可用目录。

[!IMPORTANT] 如果您仍依赖旧版ClusterImageCatalog-bullseye.yaml和ClusterImageCatalog-bookworm.yaml清单，请尽快迁移到新目录。这些旧版清单已弃用，将与系统镜像一起移除。

安全性

构建证明

CNPG PostgreSQL容器镜像构建时附带以下证明，以确保透明度和可追溯性：

Software Bill of Materials (SBOM)：镜像中包含或构建过程中使用的软件制品的综合列表，采用in-toto SPDX谓词标准格式化。
Provenance：详细说明镜像构建方式的元数据，遵循SLSA Provenance框架。

例如，要检索特定平台（如linux/amd64）的多架构镜像的SBOM，可使用以下命令：

docker buildx imagetools inspect \
--format '{{ json (index .SBOM "linux/amd64").SPDX }}'

此命令以JSON格式输出SBOM，提供软件组件和构建依赖项的详细视图。

镜像签名

minimal和standard CloudNativePG容器镜像使用cosign（Sigstore生态系统中的工具）进行安全签名。此签名过程通过GitHub Actions自动化，并利用通过OpenID Connect颁发的短期令牌。

令牌颁发者为[***]

要使用镜像摘要验证其真实性，可运行以下cosign命令：

cosign verify IMAGE \
--certificate-identity-regexp="^https://github.com/cloudnative-pg/postgres-containers/" \
--certificate-oidc-issuer="https://token.actions.githubusercontent.com"

CI/CD中的镜像扫描

为进一步加强容器镜像的安全性，我们在CI/CD工作流中执行自动化镜像扫描。这些扫描有助于确保镜像在发布或部署前遵循最佳实践并免受已知漏洞影响：

Dockle：验证容器镜像的配置最佳实践。在构建阶段运行；严重失败可能会阻止构建。
Snyk：检测容器内操作系统包、库和依赖项中的漏洞。在镜像构建后运行。

构建镜像

有关构建PostgreSQL容器镜像的详细说明，请参阅BUILD.md文件。

使用Renovate进行自动更新

Renovate可用于自动更新各种依赖项。由于CloudNativePG的Cluster CRD不会被Renovate自动识别，必须配置自定义正则表达式管理器。以下示例使用JSON5；将其保存为renovate.json5，或转换键/注释以用于renovate.json：

{
customManagers: [
{
// CloudNativePG Cluster imageName
customType: 'regex',
managerFilePatterns: [
'/\\.yaml$/',
],
matchStrings: [
'imageName: (? [^\\s:]+):(? [^\\s@]+)(?:@(? sha256:[a-f0-9]{64}))?',
],
datasourceTemplate: 'docker',
// matches: 17.6-202509151215-minimal-trixie
versioningTemplate: 'regex:^(? \\d+)\\.(? \\d+)-(? \\d+)-(? \\S+)

Renovate永远不会更改标签的兼容性部分（镜像类型和Debian基础，例如system-bookworm），因此升级将保持在相同的操作系统和glibc/ICU版本。由于PostgreSQL区域设置数据的影响，切换到不同的基础（例如从bookworm到trixie）是手动操作。PostgreSQL主要版本更新通过依赖项仪表板进行路由，以便人工规划和应用。要保持引用完全可重现，您还可以启用针对CloudNativePG镜像的pinDigests。如果您的仓库包含其他YAML清单，请将managerFilePatterns缩小到存放Cluster资源的目录，例如'/clusters/.*\\.yaml$/'。

## 许可和版权

本软件根据Apache License 2.0许可提供。

版权所有 © CloudNativePG贡献者，CloudNativePG是LF Projects, LLC的一个系列项目。

Barman Cloud由EnterpriseDB根据GNU GPL 3许可分发。

PGAudit根据PostgreSQL许可分发。

Postgres Failover Slots由EnterpriseDB根据PostgreSQL许可分发。

pgvector根据PostgreSQL许可分发。

## 商标

Postgres、PostgreSQL和Slonik徽标是加拿大PostgreSQL社区协会的商标或注册商标，经其许可使用。

## Debian Releases

CloudNativePG PostgreSQL 容器镜像基于官方的 `stable` 和 `oldstable` Debian 发行版，由 Debian 项目 维护和支持。

下表总结了相关 Debian 版本的支持生命周期，包括生命周期结束（EOL）和长期支持（LTS）日期。

| 名称                     | 版本  | 发布日期   | EOL        | LTS        | 状态       |
| ------------------------ | :----: | :---------: | :---------: | :---------: | :--------- |
| Trixie (`stable`)        | 13   | 2025-08-09 | 2028-08-09 | 2030-06-30 | 受支持     |
| Bookworm (`oldstable`)   | 12   | 2023-06-10 | 2026-06-10 | 2028-06-30 | 受支持     |
| Bullseye (`oldoldstable`) | 11   | 2021-08-14 | 2024-08-14 | 2026-08-31 | 已弃用     |

> [!IMPORTANT]
> CloudNativePG 项目对基于 Debian 的镜像提供全面支持，直至每个发行版达到其官方生命周期结束（EOL）。在 EOL 之后且长期支持（LTS）开始之前，对于已弃用的发行版（如 `oldoldstable`）的镜像，将基于**尽力而为**的原则进行维护。如果需要在 LTS 日期之前停止支持，将在本页面发布至少**三个月的提前通知**。

## Image Types

我们目前提供并维护三种主要类型的 PostgreSQL 镜像：

* `minimal`
* `standard`
* `system`

`minimal` 和 `standard` 镜像均设计为可与备份插件（如 https://github.com/cloudnative-pg/plugin-barman-cloud）配合使用。

`system` 镜像构建于 `standard` 镜像之上，还包含 Barman Cloud 二进制文件。

### Minimal Images

Minimal 镜像是轻量级的，构建于 https://hub.docker.com/_/debian 之上。它们使用由 PostgreSQL 全球开发组（PGDG）维护的 APT PostgreSQL 软件包。

这些镜像通过标签名称中包含 `minimal` 来标识，例如：`17.6-minimal-trixie`。

> [!NOTE]
> 从 PostgreSQL 18 开始，`minimal` 镜像**将不**包含 LLVM JIT 支持（由 `postgresql-MM-jit` 软件包提供，其中 `MM` 表示 PostgreSQL 主版本）。JIT 仅在 `standard` 镜像中可用。

### Standard Images

Standard 镜像是 `minimal` 镜像的扩展，增加了以下额外功能：

- PGAudit
- Postgres Failover Slots
- pgvector
- 所有区域设置
- LLVM JIT 支持
  - 对于 PostgreSQL 17 及更早版本：包含在主要 PostgreSQL 软件包中，`minimal` 镜像中也可用
  - 从 PostgreSQL 18 开始：由单独的 `postgresql-MM-jit` 软件包提供

Standard 镜像可通过名称中的 `standard` 标签识别，例如：`17.6-standard-trixie`。

> [!NOTE]
> Standard 镜像设计为在与 CloudNativePG 一起使用时提供与旧版 `system` 镜像等效的功能。要实现功能对等，您必须使用 https://github.com/cloudnative-pg/plugin-barman-cloud 来替代 `system` 镜像中的原生 Barman Cloud 支持。

### System Images (deprecated)

从 2025 年 9 月开始，system 镜像基于 `standard` 镜像构建，并包含 Barman Cloud 二进制文件。

> [!IMPORTANT]
> `system` 镜像已弃用，一旦 CloudNativePG 中对 Barman Cloud 的内置支持逐步淘汰，这些镜像将被移除。虽然只要内置 Barman Cloud 仍然可用，您仍可以使用它们，但您应计划迁移到 `minimal` 或 `standard` 镜像并配合 Barman Cloud 插件，或采用其他受支持的备份解决方案。

> [!IMPORTANT] 这些标签已**弃用**，并将在 `bullseye` 镜像达到生命周期结束时**移除**。请迁移至受支持的标签格式，此类格式明确包含**镜像类型**和**发行版版本**（例如 `16.10-minimal-trixie`）。

## 镜像目录

CloudNativePG 会在 https://github.com/cloudnative-pg/artifacts/tree/main/image-catalogs中发布 CloudNativePG 的 `ClusterImageCatalog` 清单，每种受支持的镜像类型和操作系统版本组合对应一个目录。

> [!IMPORTANT] 如果您仍依赖旧版的 `ClusterImageCatalog-bullseye.yaml` 和 `ClusterImageCatalog-bookworm.yaml` 清单，请尽快迁移至新目录。这些旧版清单已弃用，并将随 `system` 镜像一同移除。

## 安全性

### 构建证明

CNPG PostgreSQL 容器镜像构建时包含以下证明，以确保透明度和可追溯性：

- **软件物料清单 (SBOM)**：镜像中包含或构建过程中使用的软件制品的综合列表，采用 https://github.com/in-toto/attestation/blob/main/spec/predicates/spdx.md格式化。

- **来源证明**：详细说明镜像构建方式的元数据，遵循 SLSA Provenance 框架。

例如，要检索特定平台（如 `linux/amd64`）的多架构镜像的 SBOM，可使用以下命令：
```bash
docker buildx imagetools inspect \
--format '{{ json (index .SBOM "linux/amd64").SPDX }}'

此命令以 JSON 格式输出 SBOM，提供软件组件和构建依赖项的详细视图。

镜像签名

minimal 和 standard CloudNativePG 容器镜像使用 https://github.com/sigstore/cosign%EF%BC%88Sigstore 生态系统中的工具）进行安全签名。签名过程通过 GitHub Actions 自动化，并利用 https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/about-security-hardening-with-openid-connect%E3%80%82

令牌颁发者为 https://token.actions.githubusercontent.com，签名身份对应在 cloudnative-pg/postgres-containers 仓库下执行的 GitHub 工作流。该工作流使用 https://github.com/marketplace/actions/cosign-installer 辅助签名过程。

要使用镜像摘要验证其真实性，可运行以下 cosign 命令：

cosign verify IMAGE \
--certificate-identity-regexp="^https://github.com/cloudnative-pg/postgres-containers/" \
--certificate-oidc-issuer="[***]"

CI/CD 中的镜像扫描

为进一步加强容器镜像的安全性，我们在 CI/CD 工作流中执行自动化镜像扫描。这些扫描有助于确保镜像在发布或部署前符合最佳实践且无已知漏洞：

Dockle：验证容器镜像的配置最佳实践。在构建阶段运行；严重失败可能会阻止构建。
Snyk：检测容器内 OS 包、库和依赖项中的漏洞。在镜像构建后运行。

构建镜像

有关构建 PostgreSQL 容器镜像的详细说明，请参考 BUILD.md 文件。

使用 Renovate 进行自动化更新

https://github.com/renovatebot/renovate 可用于自动更新各种依赖项。由于 CloudNativePG 的 Cluster CRD 不会被 Renovate 自动识别，必须配置自定义正则管理器。以下示例使用 JSON5；将其保存为 renovate.json5，或转换键/注释以用于 renovate.json：

{
customManagers: [
{
// CloudNativePG Cluster imageName
customType: 'regex',
managerFilePatterns: [
'/\\.yaml$/',
],
matchStrings: [
'imageName: (? [^\\s:]+):(? [^\\s@]+)(?:@(? sha256:[a-f0-9]{64}))?',
],
datasourceTemplate: 'docker',
// matches: 17.6-202509151215-minimal-trixie
versioningTemplate: 'regex:^(? \\d+)\\.(? \\d+)-(? \\d+)-(? \\S+)

Renovate 永远不会更改标签的兼容性部分（镜像类型和 Debian 基础，例如 `system-bookworm`），因此升级会保持在相同的 OS 和 glibc/ICU 版本。由于 PostgreSQL 区域数据影响，切换到不同基础（例如从 `bookworm` 到 `trixie`）是手动操作。PostgreSQL 主版本更新会通过 依赖项仪表板 路由，以便人工规划和应用。要保持引用完全可重现，还可以为 CloudNativePG 镜像启用 `pinDigests`。如果您的仓库包含其他 YAML 清单，请将 `managerFilePatterns` 缩小到存放 `Cluster` 资源的目录，例如 `'/clusters/.*\\.yaml$/'`。

## 许可和版权

本软件基于 Apache License 2.0 许可。

版权所有 © CloudNativePG 贡献者，CloudNativePG 为 LF Projects, LLC 的系列项目。

Barman Cloud 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/barman/blob/master/LICENSE 分发。

PGAudit 依据 https://github.com/pgaudit/pgaudit/blob/master/LICENSE 分发。

Postgres Failover Slots 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/pg_failover_slots/blob/master/LICENSE 分发。

pgvector 依据 https://github.com/pgvector/pgvector/blob/master/LICENSE 分发。

## 商标

*Postgres、PostgreSQL 和 Slonik 徽标 是加拿大 PostgreSQL 社区协会的商标或注册商标，经其许可使用。*,
autoReplaceStringTemplate: 'imageName: {{{depName}}}:{{{newValue}}}{{#if newDigest}}@{{{newDigest}}}{{/if}}',
}
],
packageRules: [
{
matchPackageNames: ['ghcr.io/cloudnative-pg/postgresql'],
matchUpdateTypes: ['major'],
dependencyDashboardApproval: true,
}
]
}

Renovate永远不会更改标签的兼容性部分（镜像类型和Debian基础，例如system-bookworm），因此升级将保持在相同的操作系统和glibc/ICU版本。由于PostgreSQL区域设置数据的影响，切换到不同的基础（例如从bookworm到trixie）是手动操作。PostgreSQL主要版本更新通过依赖项仪表板进行路由，以便人工规划和应用。要保持引用完全可重现，您还可以启用针对CloudNativePG镜像的pinDigests。如果您的仓库包含其他YAML清单，请将managerFilePatterns缩小到存放Cluster资源的目录，例如'/clusters/.*\.yaml$/'。

许可和版权

本软件根据Apache License 2.0许可提供。

Barman Cloud由EnterpriseDB根据GNU GPL 3许可分发。

PGAudit根据PostgreSQL许可分发。

Postgres Failover Slots由EnterpriseDB根据PostgreSQL许可分发。

pgvector根据PostgreSQL许可分发。

商标

Postgres、PostgreSQL和Slonik徽标是加拿大PostgreSQL社区协会的商标或注册商标，经其许可使用。

Debian Releases

CloudNativePG PostgreSQL 容器镜像基于官方的 CODE_TOKEN_8 和 CODE_TOKEN_9 Debian 发行版，由 Debian 项目维护和支持。

下表总结了相关 Debian 版本的支持生命周期，包括生命周期结束（EOL）和长期支持（LTS）日期。

名称	版本	发布日期	EOL	LTS	状态
Trixie (CODE_TOKEN_10)	13	2025-08-09	2028-08-09	2030-06-30	受支持
Bookworm (CODE_TOKEN_11)	12	2023-06-10	2026-06-10	2028-06-30	受支持
Bullseye (CODE_TOKEN_12)	11	2021-08-14	2024-08-14	2026-08-31	已弃用

[!IMPORTANT] CloudNativePG 项目对基于 Debian 的镜像提供全面支持，直至每个发行版达到其官方生命周期结束（EOL）。在 EOL 之后且长期支持（LTS）开始之前，对于已弃用的发行版（如 CODE_TOKEN_13）的镜像，将基于尽力而为的原则进行维护。如果需要在 LTS 日期之前停止支持，将在本页面发布至少三个月的提前通知。

Image Types

我们目前提供并维护三种主要类型的 PostgreSQL 镜像：

CODE_TOKEN_14
``
CODE_TOKEN_16

CODE_TOKEN_17 和 CODE_TOKEN_18 镜像均设计为可与备份插件（如 https://github.com/cloudnative-pg/plugin-barman-cloud%EF%BC%89%E9%85%8D%E5%90%88%E4%BD%BF%E7%94%A8%E3%80%82

CODE_TOKEN_19 镜像构建于 CODE_TOKEN_20 镜像之上，还包含 Barman Cloud 二进制文件。

Minimal Images

Minimal 镜像是轻量级的，构建于 https://hub.docker.com/_/debian 之上。它们使用由 PostgreSQL 全球开发组（PGDG）维护的 APT PostgreSQL 软件包。

这些镜像通过标签名称中包含 CODE_TOKEN_21 来标识，例如：CODE_TOKEN_22。

[!NOTE] 从 PostgreSQL 18 开始，CODE_TOKEN_23 镜像将不包含 LLVM JIT 支持（由 CODE_TOKEN_24 软件包提供，其中 CODE_TOKEN_25 表示 PostgreSQL 主版本）。JIT 仅在 CODE_TOKEN_26 镜像中可用。

Standard Images

Standard 镜像是 CODE_TOKEN_27 镜像的扩展，增加了以下额外功能：

PGAudit
Postgres Failover Slots
pgvector
所有区域设置
LLVM JIT 支持
- 对于 PostgreSQL 17 及更早版本：包含在主要 PostgreSQL 软件包中，CODE_TOKEN_28 镜像中也可用
- 从 PostgreSQL 18 开始：由单独的 CODE_TOKEN_29 软件包提供

Standard 镜像可通过名称中的 CODE_TOKEN_30 标签识别，例如：CODE_TOKEN_31。

[!NOTE] Standard 镜像设计为在与 CloudNativePG 一起使用时提供与旧版 CODE_TOKEN_32 镜像等效的功能。要实现功能对等，您必须使用 https://github.com/cloudnative-pg/plugin-barman-cloud 来替代 CODE_TOKEN_33 镜像中的原生 Barman Cloud 支持。

System Images (deprecated)

从 2025 年 9 月开始，system 镜像基于 CODE_TOKEN_34 镜像构建，并包含 Barman Cloud 二进制文件。

[!IMPORTANT] CODE_TOKEN_35 镜像已弃用，一旦 CloudNativePG 中对 Barman Cloud 的内置支持逐步淘汰，这些镜像将被移除。虽然只要内置 Barman Cloud 仍然可用，您仍可以使用它们，但您应计划迁移到 CODE_TOKEN_36 或 CODE_TOKEN_37 镜像并配合 Barman Cloud 插件，或采用其他受支持的备份解决方案。

[!IMPORTANT] 这些标签已弃用，并将在 CODE_TOKEN_38 镜像达到生命周期结束时移除。请迁移至受支持的标签格式，此类格式明确包含镜像类型和发行版版本（例如 CODE_TOKEN_39）。

镜像目录

CloudNativePG 会在 https://github.com/cloudnative-pg/artifacts/tree/main/image-catalogs%E4%B8%AD%E5%8F%91%E5%B8%83 CloudNativePG 的 CODE_TOKEN_41 清单，每种受支持的镜像类型和操作系统版本组合对应一个目录。

[!IMPORTANT] 如果您仍依赖旧版的 CODE_TOKEN_42 和 CODE_TOKEN_43 清单，请尽快迁移至新目录。这些旧版清单已弃用，并将随 CODE_TOKEN_44 镜像一同移除。

安全性

构建证明

CNPG PostgreSQL 容器镜像构建时包含以下证明，以确保透明度和可追溯性：

软件物料清单 (SBOM)：镜像中包含或构建过程中使用的软件制品的综合列表，采用 https://github.com/in-toto/attestation/blob/main/spec/predicates/spdx.md%E6%A0%BC%E5%BC%8F%E5%8C%96%E3%80%82
来源证明：详细说明镜像构建方式的元数据，遵循 SLSA Provenance 框架。

例如，要检索特定平台（如 CODE_TOKEN_45）的多架构镜像的 SBOM，可使用以下命令：

CODE_TOKEN_3

此命令以 JSON 格式输出 SBOM，提供软件组件和构建依赖项的详细视图。

镜像签名

CODE_TOKEN_46 和 CODE_TOKEN_47 CloudNativePG 容器镜像使用 https://github.com/sigstore/cosign%EF%BC%88Sigstore 生态系统中的工具）进行安全签名。签名过程通过 GitHub Actions 自动化，并利用 https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/about-security-hardening-with-openid-connect%E3%80%82

令牌颁发者为 CODE_TOKEN_48，签名身份对应在 CODE_TOKEN_49 仓库下执行的 GitHub 工作流。该工作流使用 https://github.com/marketplace/actions/cosign-installer 辅助签名过程。

要使用镜像摘要验证其真实性，可运行以下 CODE_TOKEN_51 命令：

CODE_TOKEN_4

CI/CD 中的镜像扫描

为进一步加强容器镜像的安全性，我们在 CI/CD 工作流中执行自动化镜像扫描。这些扫描有助于确保镜像在发布或部署前符合最佳实践且无已知漏洞：

Dockle：验证容器镜像的配置最佳实践。在构建阶段运行；严重失败可能会阻止构建。
Snyk：检测容器内 OS 包、库和依赖项中的漏洞。在镜像构建后运行。

构建镜像

有关构建 PostgreSQL 容器镜像的详细说明，请参考 BUILD.md 文件。

使用 Renovate 进行自动化更新

https://github.com/renovatebot/renovate 可用于自动更新各种依赖项。由于 CloudNativePG 的 CODE_TOKEN_52 CRD 不会被 Renovate 自动识别，必须配置自定义正则管理器。以下示例使用 JSON5；将其保存为 CODE_TOKEN_53，或转换键/注释以用于 CODE_TOKEN_54：

CODE_TOKEN_5

Renovate 永远不会更改标签的兼容性部分（镜像类型和 Debian 基础，例如 CODE_TOKEN_55），因此升级会保持在相同的 OS 和 glibc/ICU 版本。由于 PostgreSQL 区域数据影响，切换到不同基础（例如从 CODE_TOKEN_56 到 CODE_TOKEN_57）是手动操作。PostgreSQL 主版本更新会通过依赖项仪表板路由，以便人工规划和应用。要保持引用完全可重现，还可以为 CloudNativePG 镜像启用 CODE_TOKEN_58。如果您的仓库包含其他 YAML 清单，请将 CODE_TOKEN_59 缩小到存放 CODE_TOKEN_60 资源的目录，例如 CODE_TOKEN_61。

许可和版权

本软件基于 Apache License 2.0 许可。

Barman Cloud 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/barman/blob/master/LICENSE 分发。

PGAudit 依据 https://github.com/pgaudit/pgaudit/blob/master/LICENSE 分发。

Postgres Failover Slots 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/pg_failover_slots/blob/master/LICENSE 分发。

pgvector 依据 https://github.com/pgvector/pgvector/blob/master/LICENSE 分发。

商标

Postgres、PostgreSQL 和 Slonik 徽标是加拿大 PostgreSQL 社区协会的商标或注册商标，经其许可使用。, autoReplaceStringTemplate: 'imageName: {{{depName}}}:{{{newValue}}}{{#if newDigest}}@{{{newDigest}}}{{/if}}', } ], packageRules: [ { matchPackageNames: ['ghcr.io/cloudnative-pg/postgresql'], matchUpdateTypes: ['major'], dependencyDashboardApproval: true, } ] }

Renovate 永远不会更改标签的兼容性部分（镜像类型和 Debian 基础，例如 __CODE_TOKEN_55__），因此升级会保持在相同的 OS 和 glibc/ICU 版本。由于 PostgreSQL 区域数据影响，切换到不同基础（例如从 __CODE_TOKEN_56__ 到 __CODE_TOKEN_57__）是手动操作。PostgreSQL 主版本更新会通过 依赖项仪表板 路由，以便人工规划和应用。要保持引用完全可重现，还可以为 CloudNativePG 镜像启用 __CODE_TOKEN_58__。如果您的仓库包含其他 YAML 清单，请将 __CODE_TOKEN_59__ 缩小到存放 __CODE_TOKEN_60__ 资源的目录，例如 __CODE_TOKEN_61__。

## 许可和版权

本软件基于 Apache License 2.0 许可。

版权所有 © CloudNativePG 贡献者，CloudNativePG 为 LF Projects, LLC 的系列项目。

Barman Cloud 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/barman/blob/master/LICENSE 分发。

PGAudit 依据 https://github.com/pgaudit/pgaudit/blob/master/LICENSE 分发。

Postgres Failover Slots 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/pg_failover_slots/blob/master/LICENSE 分发。

pgvector 依据 https://github.com/pgvector/pgvector/blob/master/LICENSE 分发。

## 商标

*Postgres、PostgreSQL 和 Slonik 徽标 是加拿大 PostgreSQL 社区协会的商标或注册商标，经其许可使用。*,
autoReplaceStringTemplate: 'imageName: {{{depName}}}:{{{newValue}}}{{#if newDigest}}@{{{newDigest}}}{{/if}}',
}
],
packageRules: [
{
matchPackageNames: ['ghcr.io/cloudnative-pg/postgresql'],
matchUpdateTypes: ['major'],
dependencyDashboardApproval: true,
}
]
}
__CODE_TOKEN_15__`

Renovate永远不会更改标签的兼容性部分（镜像类型和Debian基础，例如system-bookworm），因此升级将保持在相同的操作系统和glibc/ICU版本。由于PostgreSQL区域设置数据的影响，切换到不同的基础（例如从bookworm到trixie）是手动操作。PostgreSQL主要版本更新通过依赖项仪表板进行路由，以便人工规划和应用。要保持引用完全可重现，您还可以启用针对CloudNativePG镜像的pinDigests。如果您的仓库包含其他YAML清单，请将managerFilePatterns缩小到存放Cluster资源的目录，例如'/clusters/.*\\.yaml$/'。

## 许可和版权

本软件根据Apache License 2.0许可提供。

版权所有 © CloudNativePG贡献者，CloudNativePG是LF Projects, LLC的一个系列项目。

Barman Cloud由EnterpriseDB根据GNU GPL 3许可分发。

PGAudit根据PostgreSQL许可分发。

Postgres Failover Slots由EnterpriseDB根据PostgreSQL许可分发。

pgvector根据PostgreSQL许可分发。

## 商标

Postgres、PostgreSQL和Slonik徽标是加拿大PostgreSQL社区协会的商标或注册商标，经其许可使用。

## Debian Releases

CloudNativePG PostgreSQL 容器镜像基于官方的 __CODE_TOKEN_8__ 和 __CODE_TOKEN_9__ Debian 发行版，由 Debian 项目 维护和支持。

下表总结了相关 Debian 版本的支持生命周期，包括生命周期结束（EOL）和长期支持（LTS）日期。

| 名称                     | 版本  | 发布日期   | EOL        | LTS        | 状态       |
| ------------------------ | :----: | :---------: | :---------: | :---------: | :--------- |
| Trixie (__CODE_TOKEN_10__)        | 13   | 2025-08-09 | 2028-08-09 | 2030-06-30 | 受支持     |
| Bookworm (__CODE_TOKEN_11__)   | 12   | 2023-06-10 | 2026-06-10 | 2028-06-30 | 受支持     |
| Bullseye (__CODE_TOKEN_12__) | 11   | 2021-08-14 | 2024-08-14 | 2026-08-31 | 已弃用     |

> [!IMPORTANT]
> CloudNativePG 项目对基于 Debian 的镜像提供全面支持，直至每个发行版达到其官方生命周期结束（EOL）。在 EOL 之后且长期支持（LTS）开始之前，对于已弃用的发行版（如 __CODE_TOKEN_13__）的镜像，将基于**尽力而为**的原则进行维护。如果需要在 LTS 日期之前停止支持，将在本页面发布至少**三个月的提前通知**。

## Image Types

我们目前提供并维护三种主要类型的 PostgreSQL 镜像：

* __CODE_TOKEN_14__
* __CODE_TOKEN_15__
* __CODE_TOKEN_16__

__CODE_TOKEN_17__ 和 __CODE_TOKEN_18__ 镜像均设计为可与备份插件（如 https://github.com/cloudnative-pg/plugin-barman-cloud）配合使用。

__CODE_TOKEN_19__ 镜像构建于 __CODE_TOKEN_20__ 镜像之上，还包含 Barman Cloud 二进制文件。

### Minimal Images

Minimal 镜像是轻量级的，构建于 https://hub.docker.com/_/debian 之上。它们使用由 PostgreSQL 全球开发组（PGDG）维护的 APT PostgreSQL 软件包。

这些镜像通过标签名称中包含 __CODE_TOKEN_21__ 来标识，例如：__CODE_TOKEN_22__。

> [!NOTE]
> 从 PostgreSQL 18 开始，__CODE_TOKEN_23__ 镜像**将不**包含 LLVM JIT 支持（由 __CODE_TOKEN_24__ 软件包提供，其中 __CODE_TOKEN_25__ 表示 PostgreSQL 主版本）。JIT 仅在 __CODE_TOKEN_26__ 镜像中可用。

### Standard Images

Standard 镜像是 __CODE_TOKEN_27__ 镜像的扩展，增加了以下额外功能：

- PGAudit
- Postgres Failover Slots
- pgvector
- 所有区域设置
- LLVM JIT 支持
  - 对于 PostgreSQL 17 及更早版本：包含在主要 PostgreSQL 软件包中，__CODE_TOKEN_28__ 镜像中也可用
  - 从 PostgreSQL 18 开始：由单独的 __CODE_TOKEN_29__ 软件包提供

Standard 镜像可通过名称中的 __CODE_TOKEN_30__ 标签识别，例如：__CODE_TOKEN_31__。

> [!NOTE]
> Standard 镜像设计为在与 CloudNativePG 一起使用时提供与旧版 __CODE_TOKEN_32__ 镜像等效的功能。要实现功能对等，您必须使用 https://github.com/cloudnative-pg/plugin-barman-cloud 来替代 __CODE_TOKEN_33__ 镜像中的原生 Barman Cloud 支持。

### System Images (deprecated)

从 2025 年 9 月开始，system 镜像基于 __CODE_TOKEN_34__ 镜像构建，并包含 Barman Cloud 二进制文件。

> [!IMPORTANT]
> __CODE_TOKEN_35__ 镜像已弃用，一旦 CloudNativePG 中对 Barman Cloud 的内置支持逐步淘汰，这些镜像将被移除。虽然只要内置 Barman Cloud 仍然可用，您仍可以使用它们，但您应计划迁移到 __CODE_TOKEN_36__ 或 __CODE_TOKEN_37__ 镜像并配合 Barman Cloud 插件，或采用其他受支持的备份解决方案。

> [!IMPORTANT] 这些标签已**弃用**，并将在 __CODE_TOKEN_38__ 镜像达到生命周期结束时**移除**。请迁移至受支持的标签格式，此类格式明确包含**镜像类型**和**发行版版本**（例如 __CODE_TOKEN_39__）。

## 镜像目录

CloudNativePG 会在 https://github.com/cloudnative-pg/artifacts/tree/main/image-catalogs中发布 CloudNativePG 的 __CODE_TOKEN_41__ 清单，每种受支持的镜像类型和操作系统版本组合对应一个目录。

> [!IMPORTANT] 如果您仍依赖旧版的 __CODE_TOKEN_42__ 和 __CODE_TOKEN_43__ 清单，请尽快迁移至新目录。这些旧版清单已弃用，并将随 __CODE_TOKEN_44__ 镜像一同移除。

## 安全性

### 构建证明

CNPG PostgreSQL 容器镜像构建时包含以下证明，以确保透明度和可追溯性：

- **软件物料清单 (SBOM)**：镜像中包含或构建过程中使用的软件制品的综合列表，采用 https://github.com/in-toto/attestation/blob/main/spec/predicates/spdx.md格式化。

- **来源证明**：详细说明镜像构建方式的元数据，遵循 SLSA Provenance 框架。

例如，要检索特定平台（如 __CODE_TOKEN_45__）的多架构镜像的 SBOM，可使用以下命令：

__CODE_TOKEN_3__

此命令以 JSON 格式输出 SBOM，提供软件组件和构建依赖项的详细视图。

### 镜像签名

__CODE_TOKEN_46__ 和 __CODE_TOKEN_47__ CloudNativePG 容器镜像使用 https://github.com/sigstore/cosign（Sigstore 生态系统中的工具）进行安全签名。签名过程通过 GitHub Actions 自动化，并利用 https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/about-security-hardening-with-openid-connect。

令牌颁发者为 __CODE_TOKEN_48__，签名身份对应在 __CODE_TOKEN_49__ 仓库下执行的 GitHub 工作流。该工作流使用 https://github.com/marketplace/actions/cosign-installer 辅助签名过程。

要使用镜像摘要验证其真实性，可运行以下 __CODE_TOKEN_51__ 命令：

__CODE_TOKEN_4__

## CI/CD 中的镜像扫描

为进一步加强容器镜像的安全性，我们在 CI/CD 工作流中执行自动化镜像扫描。这些扫描有助于确保镜像在发布或部署前符合最佳实践且无已知漏洞：

- **Dockle**：验证容器镜像的配置最佳实践。在构建阶段运行；严重失败可能会阻止构建。
- **Snyk**：检测容器内 OS 包、库和依赖项中的漏洞。在镜像构建后运行。

## 构建镜像

有关构建 PostgreSQL 容器镜像的详细说明，请参考 BUILD.md 文件。

## 使用 Renovate 进行自动化更新

https://github.com/renovatebot/renovate 可用于自动更新各种依赖项。由于 CloudNativePG 的 __CODE_TOKEN_52__ CRD 不会被 Renovate 自动识别，必须配置自定义正则管理器。以下示例使用 JSON5；将其保存为 __CODE_TOKEN_53__，或转换键/注释以用于 __CODE_TOKEN_54__：

__CODE_TOKEN_5__

Renovate 永远不会更改标签的兼容性部分（镜像类型和 Debian 基础，例如 __CODE_TOKEN_55__），因此升级会保持在相同的 OS 和 glibc/ICU 版本。由于 PostgreSQL 区域数据影响，切换到不同基础（例如从 __CODE_TOKEN_56__ 到 __CODE_TOKEN_57__）是手动操作。PostgreSQL 主版本更新会通过 依赖项仪表板 路由，以便人工规划和应用。要保持引用完全可重现，还可以为 CloudNativePG 镜像启用 __CODE_TOKEN_58__。如果您的仓库包含其他 YAML 清单，请将 __CODE_TOKEN_59__ 缩小到存放 __CODE_TOKEN_60__ 资源的目录，例如 __CODE_TOKEN_61__。

## 许可和版权

本软件基于 Apache License 2.0 许可。

版权所有 © CloudNativePG 贡献者，CloudNativePG 为 LF Projects, LLC 的系列项目。

Barman Cloud 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/barman/blob/master/LICENSE 分发。

PGAudit 依据 https://github.com/pgaudit/pgaudit/blob/master/LICENSE 分发。

Postgres Failover Slots 由 EnterpriseDB 依据 https://github.com/EnterpriseDB/pg_failover_slots/blob/master/LICENSE 分发。

pgvector 依据 https://github.com/pgvector/pgvector/blob/master/LICENSE 分发。

## 商标

*Postgres、PostgreSQL 和 Slonik 徽标 是加拿大 PostgreSQL 社区协会的商标或注册商标，经其许可使用。*

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

轩辕镜像支持 docker push 上传本地镜像吗？

不支持 push

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开具发票？

申请开票

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

为什么拉取镜像的 :latest 标签，拿到的往往不是「最新」镜像？

latest 与「最新」

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"