bitnami/sealed-secrets-controller Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

Bitnami Sealed Secrets 镜像文档

镜像概述和主要用途

Sealed Secrets 是一种"单向"加密的 Kubernetes Secrets，任何人都可以创建，但只能由运行在目标集群中的控制器解密并恢复原始对象。Bitnami Sealed Secrets 镜像提供了 Sealed Secrets 的容器化部署方案，旨在简化 Kubernetes 环境中敏感信息的安全管理。

核心功能和特性

Sealed Secrets 核心功能

• 单向加密机制：支持对 Kubernetes Secrets 进行加密，加密后的 SealedSecret 对象可安全存储在版本控制系统中
• 集群专属解密：仅目标 Kubernetes 集群中的 Sealed Secrets 控制器能够解密，确保密钥仅在授权环境中可用
• 与 Kubernetes 原生集成：遵循 Kubernetes API 规范，可无缝集成到现有 K8s 工作流中

Bitnami 安全镜像特性

• 安全加固：基于最小化操作系统（Photon Linux）构建，减少***面
• CVE 透明度：通过 VEX/KEV 标准提供漏洞可利用性信息，结合 EPSS 评分辅助风险评估
• 持续更新：上游安全补丁发布后数小时内完成镜像更新，确保安全性
• 供应链安全：提供 SLSA-3 合规的软件供应链，包含签名验证（Notation）、软件物料清单（SBOM）和病毒扫描报告
• 跨格式一致性：容器、虚拟机和云镜像使用相同组件和配置，便于多环境切换

使用场景和适用范围

适用场景

• Kubernetes 敏感信息管理：安全存储数据库密码、API 密钥等敏感配置
• 多环境部署：在开发、测试、生产等环境间安全传递密钥，避免明文泄露
• CI/CD 流程集成：将加密后的 SealedSecret 纳入版本控制，实现自动化部署中的密钥安全交付
• 协作开发：团队成员可共享 SealedSecret 文件，无需直接接触敏感明文

适用范围

• Kubernetes 集群环境（1.16+ 版本推荐）
• 需要符合安全合规要求的生产环境
• 对供应链安全有较高要求的开发流程

使用方法和配置说明

获取镜像

推荐从 Docker Hub 拉取预构建镜像：

console
docker pull bitnami/sealed-secrets:latest

如需使用特定版本，可指定版本标签（查看 可用版本列表）：

console
docker pull bitnami/sealed-secrets:[TAG]

如需自行构建镜像，可克隆仓库并执行构建命令：

console
git clone [***]
cd bitnami/sealed-secrets/[VERSION]/[DISTRO]
docker build -t bitnami/sealed-secrets:latest .

运行容器

快速启动容器：

console
docker run --name sealed-secrets bitnami/sealed-secrets:latest

执行命令

在容器内执行命令（如查看版本）：

console
docker run --rm --name sealed-secrets bitnami/sealed-secrets:latest -- kubeseal --version

支持的标签

Bitnami 镜像遵循特定的标签政策，区分滚动标签（如 latest）和不可变标签（如 2.50.0）。关于标签政策的详细说明，参见 Bitnami 标签政策文档。

各标签对应的 Dockerfile 链接可通过仓库分支中的 tags-info.yaml 文件查看（路径格式：bitnami/ASSET/BRANCH/DISTRO/tags-info.yaml）。

建议通过监视 bitnami/containers GitHub 仓库 获取项目更新通知。

重要通知：Bitnami 镜像目录即将变更

自 2025 年 8 月 28 日起，Bitnami 将升级其公共镜像目录，推出专注于安全加固的 Bitnami Secure Images 计划。主要变更如下：

• 安全镜像开放：首次向社区用户提供安全优化版本的容器镜像
• 非加固镜像弃用：免费 tier 将逐步停止支持基于 Debian 的非加固软件镜像，逐步移除非最新标签，仅保留"latest"标签用于开发目的
• 镜像仓库迁移：2025年8月28日起，两周内所有现有容器镜像（包括历史版本标签，如 2.50.0、10.6）将从公共仓库（docker.io/bitnami）迁移至"Bitnami Legacy"仓库（docker.io/bitnamilegacy），且不再接收更新
• 生产环境建议：生产工作负载和长期支持推荐采用 Bitnami Secure Images，包含加固容器、最小***面、CVE 透明度（VEX/KEV）、SBOM 和企业支持

这些变更旨在通过促进软件供应链完整性最佳实践和最新部署，提升所有 Bitnami 用户的安全态势。详情参见 Bitnami Secure Images 公告。

为什么使用 Bitnami 安全镜像？

• 企业级安全：Bitnami 安全镜像和 Helm 图表旨在提升开源软件的安全性和企业就绪性
• 漏洞响应加速：通过行业标准 VEX、KEV 和 EPSS 评分，快速评估 CVE 风险
• 最小化*面**：基于最小化操作系统（Photon Linux）构建，同时通过标准包格式保持可扩展性
• 跨格式一致性：容器、虚拟机和云镜像使用相同组件和配置，便于根据项目需求切换格式
• 供应链合规：加固镜像包含签名验证（Notation）、SBOM、病毒扫描报告等元数据，通过 SLSA-3 合规软件工厂生成

仅部分 Bitnami Secure Images 应用可免费使用。如需访问完整应用目录及企业支持，可尝试 Bitnami Secure Images 商业版。

变更记录

2024年1月16日起

• 移除 docker-compose.yaml 文件，该文件仅用于内部测试目的。

贡献指南

欢迎为该容器镜像贡献代码。可通过创建 issue 请求新功能，或提交 pull request 贡献代码。

问题反馈

如运行容器时遇到问题，可提交 issue。为获得更好支持，请务必填写 issue 模板。

许可证

版权所有 © 2025 Broadcom。"Broadcom" 指 Broadcom Inc. 及其子公司。

根据 Apache License 2.0 许可证授权（以下简称"许可证"）；除非遵守许可证，否则不得使用本文件。您可在以下地址获取许可证副本：

<[***]>

除非适用***要求或书面同意，否则根据许可证分发的软件按"原样"提供，不附带任何明示或暗示的担保或条件。有关许可证下权限和限制的具体语言，请参见许可证。