bitnamicharts/oauth2-proxy Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bitnamicharts/oauth2-proxybitnamicharts
Bitnami提供的OAuth2 Proxy Helm chart,用于在Kubernetes环境中简化OAuth2认证代理的部署与管理。
下载次数: 0状态:社区镜像维护者:bitnamicharts仓库类型:镜像最近更新:6 个月前
Bitnami OAuth2 Proxy 镜像文档
镜像概述和主要用途
OAuth2 Proxy 是一个反向代理和静态文件服务器,通过身份验证提供商(如 Google、GitHub 等)验证用户账户,支持基于电子邮件、域或组的访问控制。Bitnami 提供的此 Helm Chart 用于在 Kubernetes 集群中快速部署 OAuth2 Proxy,支持生产级别的配置管理、资源优化和安全加固,适用于为无身份验证机制的应用添加 OAuth2 认证层。
OAuth2 Proxy 项目概述
商标说明:本软件包由 Bitnami 打包,提及的商标分属各自公司所有,使用不意味着任何关联或背书。
核心功能和特性
- 反向代理与认证集成:作为反向代理,为上游服务提供 OAuth2 认证能力,支持 Google、GitHub 等主流身份提供商
- 细粒度访问控制:可通过电子邮件、域或组限制用户访问
- Kubernetes 原生支持:通过 Helm Chart 实现一键部署,支持 Kubernetes 资源管理(如 Deployment、Service、Ingress)
- 安全配置:支持 TLS 加密、Cookie 安全存储、网络策略隔离
- 灵活扩展:支持资源请求/限制配置、Sidecar 容器集成、Pod 亲和性设置
- 持久化存储:通过 Persistent Volume Claims 保留配置和状态数据
使用场景和适用范围
- 内部服务保护:为 Kubernetes 集群内的内部 Web 服务(如 Dashboard、API 服务)添加 OAuth2 认证
- 遗留应用升级:为无身份验证机制的遗留应用快速集成现代 OAuth2 认证流程
- 开发/测试环境:在开发环境中快速部署临时认证代理,验证 OAuth2 集成逻辑
- 多租户隔离:通过域或组限制,实现多租户环境下的服务访问隔离
前提条件
- Kubernetes 集群版本 1.23+
- Helm 版本 3.8.0+
- 底层基础设施支持 PV 供应(Persistent Volume Provisioner)
- 如需扩展部署,需支持 ReadWriteMany 卷类型
安装方法
Helm 快速部署(TL;DR)
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/oauth2-proxy
详细安装步骤
-
添加 Helm 仓库(如未添加):
consolehelm repo add bitnami [***] helm repo update -
部署 Helm Chart:
consolehelm install my-release oci://REGISTRY_NAME/REPOSITORY_NAME/oauth2-proxy说明:需替换
REGISTRY_NAME和REPOSITORY_NAME。Bitnami 官方仓库示例:REGISTRY_NAME=registry-1.docker.io,REPOSITORY_NAME=bitnamicharts。 -
验证部署:
consolehelm list # 查看 release 状态 kubectl get pods # 确认 OAuth2 Proxy Pod 运行正常
Docker 直接运行示例
若需在非 Kubernetes 环境中使用,可直接通过 Docker 运行 Bitnami OAuth2 Proxy 镜像:
consoledocker run --name oauth2-proxy -p 4180:4180 \ -e OAUTH2_PROXY_CLIENT_ID=your-client-id \ -e OAUTH2_PROXY_CLIENT_SECRET=your-client-secret \ -e OAUTH2_PROXY_COOKIE_SECRET=your-cookie-secret \ -e OAUTH2_PROXY_UPSTREAMS=[***] \ -e OAUTH2_PROXY_PROVIDER=google \ -e OAUTH2_PROXY_EMAIL_DOMAINS=example.com \ bitnami/oauth2-proxy:latest
环境变量说明:
OAUTH2_PROXY_CLIENT_ID:OAuth 提供商的客户端 IDOAUTH2_PROXY_CLIENT_SECRET:OAuth 提供商的客户端密钥OAUTH2_PROXY_COOKIE_SECRET:用于加密 Cookie 的随机字符串(建议 32 字节)OAUTH2_PROXY_UPSTREAMS:需保护的上游服务地址OAUTH2_PROXY_PROVIDER:身份提供商(如github、azure等)OAUTH2_PROXY_EMAIL_DOMAINS:允许访问的电子邮件域(如example.com或*允许所有)
配置说明
核心配置参数
通过 Helm 部署时,可通过 --set 或 values.yaml 文件配置以下关键参数:
OAuth2 Proxy 核心配置
| 参数名称 | 描述 | 默认值 |
|---|---|---|
configuration.clientID | OAuth 客户端 ID | XXXXXXX |
configuration.clientSecret | OAuth 客户端密钥 | XXXXXXXX |
configuration.cookieSecret | 用于加密 Cookie 的密钥(建议通过 existingSecret 传入) | XXXXXXXXXXXXXXXX |
configuration.existingSecret | 包含客户端 ID、密钥和 Cookie 密钥的现有 Secret 名称 | "" |
configuration.provider | 身份提供商(如 google、github) | google |
configuration.emailDomains | 允许访问的电子邮件域(如 example.com、* 表示所有) | [] |
configuration.upstreams | 上游服务地址列表(如 [***]) | [] |
configuration.httpAddress | 监听地址和端口 | 0.0.0.0:4180 |
流量暴露配置
| 参数名称 | 描述 | 默认值 |
|---|---|---|
service.type | Service 类型(ClusterIP/NodePort/Load***) | ClusterIP |
service.port | Service 暴露端口 | 80 |
ingress.enabled | 是否启用 Ingress | false |
ingress.hostname | Ingress 主机名 | oaut2-proxy.local |
ingress.tls | 是否启用 TLS | false |
ingress.annotations | Ingress 额外注解(如 cert-manager 配置) | {} |
资源配置
| 参数名称 | 描述 | 默认值 |
|---|---|---|
resources.requests.cpu | CPU 请求量 | 250m |
resources.requests.memory | 内存请求量 | 256Mi |
resources.limits.cpu | CPU 限制 | 500m |
resources.limits.memory | 内存限制 | 512Mi |
高级配置
Ingress 集成
启用 Ingress 以通过域名访问 OAuth2 Proxy:
yamlingress: enabled: true hostname: oauth2-proxy.example.com tls: true annotations: kubernetes.io/ingress.class: nginx cert-manager.io/cluster-issuer: letsencrypt-prod
持久化存储
OAuth2 Proxy 数据和配置存储在容器内 /bitnami 路径,可通过 PersistentVolumeClaim 持久化:
yamlpersistence: enabled: true storageClass: "standard" size: 1Gi accessModes: - ReadWriteOnce
Sidecar 容器集成
添加额外 Sidecar 容器(如日志收集器、监控代理):
yamlsidecars: - name: fluent-bit image: bitnami/fluent-bit:latest imagePullPolicy: Always volumeMounts: - name: logs mountPath: /var/log/oauth2-proxy
Pod 亲和性配置
通过亲和性规则控制 Pod 调度:
yamlpodAffinityPreset: soft podAntiAffinityPreset: soft nodeAffinityPreset: type: soft key: workload values: - auth-proxy
重要注意事项:Bitnami 镜像变更通知
自 2025 年 8 月 28 日起,Bitnami 将升级其公共镜像目录,推出 Bitnami Secure Images 计划,聚焦安全强化镜像:
- 社区用户:首次可访问安全优化版容器镜像,但免费 tier 将逐步弃用非强化的 Debian 基础镜像,仅保留
latest标签用于开发环境 - 镜像迁移:现有所有容器镜像(包括历史版本标签,如
2.50.0)将在两周内从docker.io/bitnami迁移至docker.io/bitnamilegacy,且不再更新 - 生产环境建议:生产环境需使用 Bitnami Secure Images,包含强化容器、更小***面、CVE 透明度(VEX/KEV)、SBOMs 和企业支持
详情参见 Bitnami Secure Images 公告。
参考链接
- OAuth2 Proxy 官方仓库
- Bitnami OAuth2 Proxy Helm Chart 完整文档
- Bitnami 容器镜像仓库
bitnami/oauth2-proxy
bitnami
Bitnami oauth2-proxy安全镜像,提供基于OAuth2协议的认证代理功能,用于保护Web应用访问安全,支持通过第三方OAuth2提供商验证用户身份并控制访问权限。
50 次收藏5000万+ 次下载
5 个月前更新
bitnamilegacy/oauth2-proxy
bitnamilegacy
Bitnami旧版镜像(不再更新)
10万+ 次下载
6 个月前更新
giantswarm/oauth2-proxy
giantswarm
暂无描述
1万+ 次下载
6 个月前更新
dcm4che/oauth2-proxy
dcm4che
OAuth2 Proxy + dcm4che sample TLS certificates
1万+ 次下载
1 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"