本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
czertainly-core Docker 镜像下载 - 轩辕镜像
czertainly-core 镜像详细信息和使用指南
czertainly-core 镜像标签列表和版本信息
czertainly-core 镜像拉取命令和加速下载
czertainly-core 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
3keycompany/czertainly-core
czertainly-core 镜像详细信息
czertainly-core 镜像标签列表
czertainly-core 镜像使用说明
czertainly-core 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
CZERTAINLY平台的核心组件,负责实现证书生命周期管理逻辑并处理相关任务,是平台的核心大脑。
0 次下载active3keycompany镜像
czertainly-core 镜像详细说明
czertainly-core 使用指南
czertainly-core 配置说明
czertainly-core 官方文档
CZERTAINLY Core
此仓库是开源项目CZERTAINLY的一部分。您可以在CZERTAINLY仓库中找到有关该项目的更多信息,包括贡献指南。
Core为CZERTAINLY平台提供基础功能,实现证书生命周期管理逻辑并处理所有相关任务,可视为CZERTAINLY平台的"大脑"。
Core负责两种类型的通信:
- 客户端请求证书及相关对象的管理操作
Connector(连接器)提供特定技术的功能
证书和加密密钥的管理通过CZERTAINLY的Profiles(配置文件)对象抽象实现,包括:
RA Profile- 证书生命周期管理服务的配置Token Profile- 加密服务配置和密钥管理Compliance Profile- 证书及相关对象的合规要求
更多信息请参考CZERTAINLY文档。
访问控制
Core的访问控制运行需满足以下要求:
- CZERTAINLY-Auth服务:用于管理用户、角色和权限。可通过
AUTH_SERVICE_BASE_URL环境变量配置Auth服务的URL。 - OPA(Open Policy Agent):评估策略并提供授权决策。可通过
OPA_BASE_URL环境变量配置OPA服务的URL。 - OPA策略束:加载到OPA服务中并定义评估规则的策略,策略定义在CZERTAINLY-Auth-OPA-Policies中。
警告
当缺少Auth或OPA服务时,Core将无法运行。
注意
OPA可与Core运行在同一系统或外部托管。为提高权限评估性能,通常将OPA与Core部署在同一主机(如作为边车容器)。
证书库存
证书库存包含平台中已发现或导入的所有Certificates(证书)。每个证书提供可管理的全面且一致的信息。
生命周期操作
每个证书支持以下基本生命周期操作:
- 创建(请求)
- 签发
- 续订
- 重新生成密钥
- 吊销
这些操作可由Core自动执行,也可由用户手动执行。
加密密钥库存
密钥库存包含所有可用的Keys(密钥)。每个密钥通过Token Profile提供可管理的全面且一致的信息。
后量子密码学(PQC)算法的实验性支持
Core支持以下PQC算法:FALCON、CRYSTALS-Dilithium、SPHINCS+。此支持为实验性,不建议用于生产环境,因为PQC算法仍在开发中且未完全标准化。
协议支持
Core支持以下证书管理协议:
- ACME
- SCEP(可选支持Intune)
- CMP
Docker容器
Core以Docker容器形式提供。使用czertainly/czertainly-core:tagname从仓库拉取所需镜像。可通过以下环境变量进行配置:
| 变量 | 描述 | 是否必填 | 默认值 |
|---|---|---|---|
JDBC_URL | 数据库访问的JDBC URL | 是 | N/A |
JDBC_USERNAME | 数据库访问用户名 | 是 | N/A |
JDBC_PASSWORD | 数据库访问密码 | 是 | N/A |
DB_SCHEMA | 要使用的数据库模式 | 否 | core |
PORT | 服务暴露端口 | 否 | 8080 |
HEADER_NAME | 客户端证书所在的请求头名称 | 否 | X-APP-CERTIFICATE |
HEADER_ENABLED | 是否从请求头获取证书 | 是 | N/A |
TS_PASSWORD | 可信证书存储的密码 | 是 | N/A |
OPA_BASE_URL | Open Policy Agent的基础URL | 是 | N/A |
AUTH_SERVICE_BASE_URL | 认证服务的基础URL | 是 | N/A |
AUTH_TOKEN_HEADER_NAME | JSON ID内容的请求头名称 | 否 | X-USERINFO |
SCHEDULED_TASKS_ENABLED | 是否启用证书状态定期更新任务 | 否 | true |
JAVA_OPTS | 运行应用程序的自定义Java系统属性 | 否 | N/A |
TRUSTED_CERTIFICATES | PEM编码的额外可信证书列表 | 否 | N/A |
SCHEDULER_BASE_URL | 调度器服务的基础URL | 是 | N/A |
RABBITMQ_HOST | RabbitMQ消息主机 | 是 | N/A |
RABBITMQ_PORT | RabbitMQ消息端口 | 否 | 5672 |
RABBITMQ_USERNAME | RabbitMQ消息用户名 | 是 | N/A |
RABBITMQ_PASSWORD | RabbitMQ消息密码 | 是 | N/A |
RABBITMQ_VHOST | RabbitMQ消息虚拟主机 | 否 | czertainly |
SETTINGS_CACHE_REFRESH_INTERVAL | 从数据库定期刷新设置缓存的间隔(秒) | 否 | 30 |
OpenTelemetry设置
Core支持OpenTelemetry以生成信号(指标、追踪、日志)到可观测性系统。可通过以下环境变量配置OpenTelemetry:
| 变量 | 描述 | 是否必填 | 默认值 |
|---|---|---|---|
OTEL_SDK_DISABLED | 禁用OpenTelemetry SDK。支持值:true、false。默认禁用OpenTelemetry SDK | 否 | true |
OTEL_LOGS_EXPORTER | 日志导出器。支持值:none、otlp、logging | 否 | none |
OTEL_METRICS_EXPORTER | 指标导出器。支持值:none、otlp、logging | 否 | none |
OTEL_TRACES_EXPORTER | 追踪导出器。支持值:none、otlp、logging | 否 | none |
OTEL_EXPORTER_OTLP_LOGS_ENDPOINT | 日志数据的端点URL(可选指定端口)。使用OTLP/HTTP时通常以v1/logs结尾 | 否 | http://localhost:4317 |
OTEL_EXPORTER_OTLP_LOGS_PROTOCOL | 日志导出器使用的协议。支持值:grpc、http/protobuf、http/json | 否 | grpc |
OTEL_EXPORTER_OTLP_METRICS_ENDPOINT | 指标数据的端点URL(可选指定端口)。使用OTLP/HTTP时通常以v1/metrics结尾 | 否 | http://localhost:4317 |
OTEL_EXPORTER_OTLP_METRICS_PROTOCOL | 指标导出器使用的协议。支持值:grpc、http/protobuf、http/json | 否 | grpc |
OTEL_EXPORTER_OTLP_TRACES_ENDPOINT | 追踪数据的端点URL(可选指定端口)。使用OTLP/HTTP时通常以v1/traces结尾 | 否 | http://localhost:4317 |
OTEL_EXPORTER_OTLP_TRACES_PROTOCOL | 追踪导出器使用的协议。支持值:grpc、http/protobuf、http/json | 否 | grpc |
代理设置
如需Core与外部系统通信,可能需要配置代理。通过以下Docker容器环境变量启用代理:
| 变量 | 描述 | 是否必填 | 默认值 |
|---|---|---|---|
HTTP_PROXY | HTTP连接代理URL。格式:<protocol>://<proxy_host>:<proxy_port> 或 <protocol>://<user>:<password>@<proxy_host>:<proxy_port> | 否 | N/A |
HTTPS_PROXY | HTTPS连接代理URL。格式:<protocol>://<proxy_host>:<proxy_port> 或 <protocol>://<user>:<password>@<proxy_host>:<proxy_port> | 否 | N/A |
NO_PROXY | 无需通过代理的主机名列表,以逗号分隔 | 否 | N/A |
示例值:
HTTP_PROXY=[***]HTTPS_PROXY=[***]NO_PROXY=localhost,127.0.0.1,0.0.0.0,10.0.0.0/8,cattle-system.svc,.svc,.cluster.local,my-domain.local
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429