checkpoint/cp-nano-k8s-workload-protection Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
checkpoint/cp-nano-k8s-workload-protectioncheckpoint
用于在Kubernetes集群中提供访问控制执行的轻量级代理容器
下载次数: 0状态:社区镜像维护者:checkpoint仓库类型:镜像最近更新:7 个月前
轻量级Kubernetes访问控制代理容器
镜像概述
本Docker镜像为一个轻量级(nano)代理容器,专为Kubernetes集群设计,主要用于提供访问控制执行功能,确保集群内资源访问的安全性和合规性。通过在集群中部署该代理,可实现对Pod、服务、配置等资源访问的精细化控制与策略执行。
核心功能与特性
- 轻量级设计:采用nano架构,资源占用极低(CPU/内存消耗小),适合在资源受限的Kubernetes环境中部署
- Kubernetes原生集成:支持与Kubernetes API Server、RBAC(基于角色的访问控制)等原生组件无缝对接
- 访问控制策略执行:可依据预定义策略对集群内资源访问请求进行实时检查与拦截,确保仅授权请求被允许
- 实时监控与审计:提供访问日志记录功能,支持对访问行为进行实时监控与审计追踪,满足合规性需求
- 高可用性:支持多实例部署,具备故障自愈能力,保障访问控制功能的持续可用
使用场景与适用范围
- Kubernetes集群访问控制管理:适用于各类Kubernetes集群(包括自建、云托管集群)的访问安全管控
- 多租户环境资源隔离:在多租户Kubernetes集群中,可通过该代理实现租户间资源访问的严格隔离
- 企业级合规性要求:满足***、政务等对访问控制与审计有严格合规要求的企业环境
- 精细化权限控制场景:需要对Pod间通信、服务访问、敏感配置读取等行为进行精细化权限管控的场景
使用方法与配置说明
基本部署(Docker Run)
bashdocker run -d \ --name nano-access-agent \ -e K8S_API_SERVER=[***] \ -e POLICY_CONFIG=/etc/agent/policy.yaml \ -v /path/to/your/policy.yaml:/etc/agent/policy.yaml \ -v /var/run/secrets/kubernetes.io/serviceaccount:/var/run/secrets/kubernetes.io/serviceaccount \ your-registry/nano-access-agent:latest
Kubernetes部署(DaemonSet示例)
yamlapiVersion: apps/v1 kind: DaemonSet metadata: name: nano-access-agent namespace: kube-system spec: selector: matchLabels: app: nano-access-agent template: metadata: labels: app: nano-access-agent spec: containers: - name: nano-access-agent image: your-registry/nano-access-agent:latest env: - name: K8S_API_SERVER value: "[***]" - name: LOG_LEVEL value: "info" volumeMounts: - name: policy-config mountPath: /etc/agent/policy.yaml subPath: policy.yaml - name: sa-token mountPath: /var/run/secrets/kubernetes.io/serviceaccount readOnly: true volumes: - name: policy-config configMap: name: nano-agent-policy - name: sa-token secret: secretName: default-token-xxxx
环境变量配置
| 环境变量名 | 描述 | 默认值 | 可选值 |
|---|---|---|---|
K8S_API_SERVER | Kubernetes API服务器地址 | [***] | 有效的K8S API地址 |
POLICY_CONFIG | 访问控制策略配置文件路径 | /etc/agent/policy.yaml | 容器内可访问的文件路径 |
LOG_LEVEL | 日志级别 | info | debug, info, warn, error |
SYNC_INTERVAL | 策略同步间隔(秒) | 30 | 正整数 |
策略配置示例(policy.yaml)
yamlapiVersion: access-agent.nano/v1 kind: AccessPolicy rules: - resource: apiGroup: "" resource: "pods" verbs: ["get", "list", "watch"] subjects: - kind: "ServiceAccount" name: "default" namespace: "default" action: "allow" - resource: apiGroup: "apps" resource: "deployments" verbs: ["create", "update", "delete"] subjects: - kind: "Group" name: "admin" action: "allow" - action: "deny" # 默认拒绝所有未匹配规则的请求
注意事项
- 部署前需确保Kubernetes集群版本≥1.16(RBAC功能需正常启用)
- 策略配置文件需提前通过ConfigMap或Secret挂载至容器内指定路径
- 建议为代理容器配置适当的资源限制(如
resources: {limits: {cpu: "100m", memory: "128Mi"}, requests: {cpu: "50m", memory: "64Mi"}})以避免资源竞争 - 生产环境中应启用TLS加密(通过挂载证书文件并配置
TLS_CERT_PATH与TLS_KEY_PATH环境变量)以保障通信安全
airbyte/workload-api-server
airbyte
暂无描述
100万+ 次下载
10 天前更新
nanozoo/nanoplot
nanozoo
NanoPlot v1.25.0是一款用于纳米孔测序数据质量控制和可视化的工具,可生成多种统计图表,帮助分析测序数据的质量、长度分布及其他关键指标。
1万+ 次下载
1 年前更新
airbyte/workload-launcher
airbyte
暂无描述
100万+ 次下载
10 天前更新
airbyte/workload-init-container
airbyte
暂无描述
500万+ 次下载
10 天前更新
nanozoo/template
nanozoo
暂无描述
1万+ 次下载
1 个月前更新
nanozoo/minimap2
nanozoo
minimap2 v2.17 Docker镜像,提供高效的DNA/RNA序列比对功能,支持长读长和短读长数据,适用于基因组学和生物信息学领域的序列比对分析。
1万+ 次下载
1 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"