ahoowang/cosec-gateway Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
ahoowang/cosec-gatewayahoowang
基于RBAC和策略的多租户安全框架,提供细粒度访问控制与策略管理,支持多租户环境下的安全隔离与权限管控。
1 次收藏下载次数: 0状态:社区镜像维护者:ahoowang仓库类型:镜像最近更新:5 小时前
基于RBAC和策略的多租户安全框架
镜像概述
本镜像提供一套基于RBAC(基于角色的访问控制)和策略的多租户安全框架,旨在解决多租户环境下的安全隔离、权限管控与策略执行问题。框架通过整合RBAC模型与策略管理机制,实现对用户、角色、权限及资源访问的精细化控制,适用于SaaS平台、企业多部门系统、云服务等多租户场景的安全管理需求。
核心功能与特性
1. RBAC访问控制
- 支持角色定义、权限分配与用户-角色映射
- 提供资源级、操作级的细粒度权限控制
- 支持动态角色调整与权限继承
2. 策略管理
- 内置策略引擎,支持自定义策略规则(如Rego、JSON等格式)
- 策略生命周期管理:创建、更新、启用/禁用、删除
- 策略执行与冲突解决机制
3. 多租户隔离
- 基于租户ID的资源与权限逻辑隔离
- 支持共享角色与租户专属角色并存
- 租户数据与配置独立存储,避免跨租户信息泄露
4. 审计与日志
- 记录用户访问行为、权限变更、策略执行等关键操作
- 支持日志导出与第三方审计系统集成
- 提供访问统计与安全风险分析报表
5. 可扩展性
- 支持与外部身份提供商集成(如LDAP、OAuth2、SAML)
- 提供RESTful API,便于与业务系统对接
- 兼容主流数据库(MySQL、PostgreSQL、SQLite)
使用场景与适用范围
典型应用场景
- SaaS平台:为多客户提供统一安全框架,确保客户间数据与操作隔离
- 企业多部门系统:支持不同部门作为独立租户,实现权限与策略的部门级管控
- 云服务提供商:为云资源(如虚拟机、存储)提供租户级安全访问控制
- 协作平台:管理多组织/团队的资源共享与访问权限
适用规模
- 中小型SaaS应用到大型企业级系统
- 支持从单租户到数千租户的平滑扩展
使用方法与配置说明
基本运行命令
通过Docker直接运行镜像:
bashdocker run -d \ --name rbac-security-framework \ -p 8080:8080 \ -e TENANT_ID=default-tenant \ -e RBAC_CONFIG=/config/rbac.yaml \ -e POLICY_DIR=/policies \ -v $(pwd)/config:/config \ -v $(pwd)/policies:/policies \ myregistry/rbac-policy-security-framework:latest
环境变量配置
| 环境变量名 | 描述 | 默认值 | 必需性 |
|---|---|---|---|
TENANT_ID | 租户标识,多租户环境下用于实例隔离 | default | 否 |
RBAC_CONFIG | RBAC配置文件路径 | /etc/rbac/rbac.yaml | 否 |
POLICY_DIR | 策略文件存放目录 | /etc/policies | 否 |
LOG_LEVEL | 日志级别(DEBUG/INFO/WARN/ERROR) | INFO | 否 |
DB_CONNECTION | 后端数据库连接字符串 | sqlite:///security.db | 否 |
API_PORT | 服务监听端口 | 8080 | 否 |
CORS_ALLOW_ORIGIN | CORS允许的源地址 | * | 否 |
Docker Compose配置示例
yamlversion: '3.8' services: rbac-security: image: myregistry/rbac-policy-security-framework:latest container_name: rbac-security-service ports: - "8080:8080" environment: - TENANT_ID=company-x - RBAC_CONFIG=/config/rbac.yaml - POLICY_DIR=/policies - LOG_LEVEL=INFO - DB_CONNECTION=postgresql://rbac_user:rbac_pass@db:5432/rbac_db volumes: - ./config:/config # 挂载RBAC配置文件 - ./policies:/policies # 挂载策略文件 - ./logs:/app/logs # 挂载日志目录 depends_on: - db db: image: postgres:14-alpine container_name: rbac-security-db environment: - POSTGRES_USER=rbac_user - POSTGRES_PASSWORD=rbac_pass - POSTGRES_DB=rbac_db volumes: - postgres-data:/var/lib/postgresql/data ports: - "5432:5432" volumes: postgres-data:
配置文件说明
RBAC配置文件(rbac.yaml)
用于定义租户内的角色、权限及用户-角色映射,示例:
yaml# 角色定义 roles: - name: admin # 管理员角色 description: "Full system access" permissions: - resource: "*" # 所有资源 actions: "*" # 所有操作 - name: developer # 开发者角色 description: "Application development access" permissions: - resource: "app:*" # 应用资源 actions: "read,write,deploy" - resource: "api:*" # API资源 actions: "invoke" - name: viewer # 查看者角色 description: "Read-only access" permissions: - resource: "app:*" actions: "read" - resource: "dashboard:*" actions: "view" # 用户-角色映射 users: - username: *** roles: [admin] - username: *** roles: [developer] - username: *** roles: [viewer]
策略文件示例(Rego格式)
在POLICY_DIR目录下创建策略文件(如access-policy.rego):
regopackage security.policy # 默认拒绝访问 default allow = false # 允许admin角色访问所有资源 allow { input.user.roles[_] == "admin" } # 允许developer角色在工作时间访问app资源 allow { input.user.roles[_] == "developer" input.resource startsWith "app:" input.action in ["read", "write", "deploy"] # 工作时间校验(示例:周一至周五 9:00-18:00) time.weekday(time.now()) >= 1 # 周一(1)至周五(5) time.weekday(time.now()) <= 5 hour := time.clock(time.now()).hour hour >= 9 hour <= 18 } # 拒绝viewer角色删除操作 deny { input.user.roles[_] == "viewer" input.action == "delete" }
服务验证与接口调用
权限检查接口
通过HTTP POST请求验证用户对资源的访问权限:
bashcurl -X POST http://localhost:8080/api/v1/auth/check \ -H "Content-Type: application/json" \ -d '{ "user": "***", "resource": "app:service-a", "action": "deploy" }'
成功响应示例:
json{ "allowed": true, "tenant_id": "company-x", "user": "***", "resource": "app:service-a", "action": "deploy", "reason": "Matched developer role policy", "timestamp": "2024-05-20T14:30:00Z" }
角色管理接口
创建新角色:
bashcurl -X POST http://localhost:8080/api/v1/roles \ -H "Content-Type: application/json" \ -d '{ "name": "tester", "description": "QA testing access", "permissions": [ { "resource": "app:*", "actions": "read,test" } ] }'
注意事项
- 多租户部署:生产环境中建议为核心租户分配独立容器实例,并通过
TENANT_ID与配置目录隔离。 - 数据持久化:使用外部数据库(如PostgreSQL)替代默认SQLite,确保数据持久化与高可用性。
- 安全加固:生产环境需配置HTTPS(可通过反向代理实现)、设置强密码、限制容器权限(如非root用户运行)。
- 策略更新:策略文件支持热加载,修改后无需重启容器即可生效。
- 日志管理:建议配置日志轮转,避免磁盘空间耗尽。
kong/kong-gateway
kong
Kong网关企业版是全球最受欢迎的API网关,提供API管理核心功能。
66 次收藏5亿+ 次下载
22 小时前更新
falcosecurity/falco
falcosecurity
Falco 是一款面向 Linux 的云原生运行时安全工具,通过内核级监控与自定义规则实时检测异常行为及安全威胁,支持容器与 Kubernetes 集成,适用于云原生环境的安全防护。
22 次收藏5000万+ 次下载
2 天前更新
falcosecurity/falcoctl
falcosecurity
暂无描述
1000万+ 次下载
3 天前更新
falcosecurity/falco-driver-loader
falcosecurity
暂无描述
1 次收藏1000万+ 次下载
2 天前更新
falcosecurity/falco-no-driver
falcosecurity
暂无描述
1000万+ 次下载
1 年前更新
falcosecurity/falcosidekick
falcosecurity
一个帮助处理Falco输出的简单守护进程,它接收Falco事件并将其转发到多种不同的输出目标。
2 次收藏1000万+ 次下载
4 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"