Akeyless Gateway (unified image) 镜像文档

镜像概述和主要用途

Akeyless Gateway (unified image) 是一个统一的密钥管理和秘密管理解决方案，旨在帮助组织安全地存储、管理、轮换和分发各类敏感信息，包括但不限于加密密钥、API密钥、数据库凭证、SSL/TLS证书、令牌等。作为集中化的秘密管理平台，它提供了全面的身份验证、授权和审计功能，确保敏感信息仅被授权实体访问，并满足合规性要求（如GDPR、HIPAA等）。该统一镜像整合了核心服务组件，简化部署流程，适用于多种环境（物理机、虚拟机、容器、云平台）。

核心功能和特性

• 集中化秘密存储：加密存储各类敏感数据，支持结构化和非结构化秘密，避免硬编码或分散存储导致的泄露风险。
• 自动轮换机制：支持密钥、证书、凭证等敏感信息的自动/手动轮换，可配置轮换周期和触发条件，降低长期使用同一凭证的安全风险。
• 多身份验证集成：兼容多种身份验证方式，包括密码、API密钥、OAuth 2.0/OIDC、SAML 2.0、LDAP、AWS IAM、Kubernetes Service Account等。
• 细粒度访问控制：基于角色的访问控制（RBAC）和属性的访问控制（ABAC），可按用户、团队、环境等维度定义访问权限，支持最小权限原则。
• 高可用性设计：支持集群部署和数据同步，确保服务无单点故障，满足业务连续性需求。
• 审计与合规：完整记录所有敏感信息的访问、修改、轮换操作，生成可追溯的审计日志，支持合规性报告导出。
• 跨平台兼容性：支持Docker、Kubernetes、AWS ECS/EKS、Azure AKS、GCP GKE等容器化和云原生环境，同时兼容传统虚拟机部署。

使用场景和适用范围

• 企业级秘密管理：适用于中大型企业集中管理全组织的敏感凭证，统一控制访问权限。
• DevOps/CI/CD流程：集成到自动化部署流程中，为应用、服务、工具链动态注入加密凭证，避免明文配置。
• 云原生环境：作为云原生应用的秘密管理基础设施，与Kubernetes Secrets、Vault等工具互补或替代，提供更灵活的管理能力。
• 合规性要求高的行业：、、***等对数据安全和合规性要求严格的领域，满足监管对密钥管理和审计的要求。
• 多团队协作：支持多租户隔离，不同团队可管理各自的秘密资源，同时保持全局统一的安全策略。

使用方法和配置说明

前提条件

• Docker Engine 19.03+ 或兼容的容器运行时。
• 至少1GB内存和1CPU核心（生产环境建议2GB+内存、2CPU核心）。
• 持久化存储（用于保存配置和加密数据，生产环境建议使用外部数据库如PostgreSQL）。

基本部署（Docker Run）

bash
docker run -d \
  --name akeyless-gateway \
  -p 8080:8080 \  # HTTP端口（默认，生产环境建议禁用或仅本地访问）
  -p 8443:8443 \  # HTTPS端口（推荐生产环境使用）
  -v /path/to/persistent/data:/akeyless/data \  # 持久化数据目录
  -e AKEYLESS_GW_ADMIN_EMAIL="***" \  # 管理员***（初始化用）
  -e AKEYLESS_GW_INITIAL_PASSWORD="SecurePassword123!" \  # 初始管理员密码（首次登录后需修改）
  -e AKEYLESS_GW_DB_TYPE="sqlite" \  # 数据库类型（默认sqlite，生产环境建议postgresql）
  akeyless/akeyless-gateway:latest

Docker Compose部署（生产环境示例）

yaml
version: '3.8'
services:
  akeyless-gateway:
    image: akeyless/akeyless-gateway:latest
    container_name: akeyless-gateway
    ports:
      - "8443:8443"  # 仅暴露HTTPS端口（生产环境建议禁用HTTP）
    volumes:
      - akeyless_data:/akeyless/data  # 持久化卷
      - ./certs:/akeyless/certs  # 挂载自定义SSL证书（可选）
    environment:
      - AKEYLESS_GW_ADMIN_EMAIL="***"
      - AKEYLESS_GW_INITIAL_PASSWORD="SecurePassword123!"
      - AKEYLESS_GW_DB_TYPE="postgresql"  # 使用外部PostgreSQL数据库
      - AKEYLESS_GW_DB_HOST="postgres"
      - AKEYLESS_GW_DB_PORT="5432"
      - AKEYLESS_GW_DB_USER="akeyless"
      - AKEYLESS_GW_DB_PASSWORD="DBPassword123!"
      - AKEYLESS_GW_DB_NAME="akeyless_db"
      - AKEYLESS_GW_TLS_ENABLED="true"  # 强制启用TLS
      - AKEYLESS_GW_TLS_CERT_PATH="/akeyless/certs/server.crt"  # 自定义证书路径
      - AKEYLESS_GW_TLS_KEY_PATH="/akeyless/certs/server.key"
    depends_on:
      - postgres
    restart: unless-stopped

  postgres:
    image: postgres:14-alpine
    container_name: akeyless-postgres
    volumes:
      - postgres_data:/var/lib/postgresql/data
    environment:
      - POSTGRES_USER="akeyless"
      - POSTGRES_PASSWORD="DBPassword123!"
      - POSTGRES_DB="akeyless_db"
    restart: unless-stopped

volumes:
  akeyless_data:
  postgres_data:

关键配置参数（环境变量）

初始化与访问

1. 部署完成后，通过https://<gateway-ip>:8443访问Web管理界面。
2. 使用初始化时配置的AKEYLESS_GW_ADMIN_EMAIL和AKEYLESS_GW_INITIAL_PASSWORD登录。
3. 首次登录后，系统将提示修改管理员密码，并引导完成基础配置（如添加身份验证方法、创建首个秘密等）。

注意事项

• 生产环境中必须启用TLS，并使用可信CA签发的证书，避免使用自签名证书。
• 初始密码仅用于首次登录，务必立即修改为高强度密码，并启用多因素认证（MFA）。
• 持久化数据目录和数据库需定期备份，防止数据丢失。
• 集群部署时，确保各节点之间网络通畅，且数据库配置为共享访问（如PostgreSQL主从复制）。

更多详细配置和高级功能（如密钥轮换策略、身份提供商集成等），请参考Akeyless***文档。