本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
cp-nano-k8s-workload-protection Docker 镜像下载 - 轩辕镜像
cp-nano-k8s-workload-protection 镜像详细信息和使用指南
cp-nano-k8s-workload-protection 镜像标签列表和版本信息
cp-nano-k8s-workload-protection 镜像拉取命令和加速下载
cp-nano-k8s-workload-protection 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
checkpoint/cp-nano-k8s-workload-protection
cp-nano-k8s-workload-protection 镜像详细信息
cp-nano-k8s-workload-protection 镜像标签列表
cp-nano-k8s-workload-protection 镜像使用说明
cp-nano-k8s-workload-protection 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
用于在Kubernetes集群中提供访问控制执行的轻量级代理容器
0 次下载activecheckpoint镜像
cp-nano-k8s-workload-protection 镜像详细说明
cp-nano-k8s-workload-protection 使用指南
cp-nano-k8s-workload-protection 配置说明
cp-nano-k8s-workload-protection 官方文档
轻量级Kubernetes访问控制代理容器
镜像概述
本Docker镜像为一个轻量级(nano)代理容器,专为Kubernetes集群设计,主要用于提供访问控制执行功能,确保集群内资源访问的安全性和合规性。通过在集群中部署该代理,可实现对Pod、服务、配置等资源访问的精细化控制与策略执行。
核心功能与特性
- 轻量级设计:采用nano架构,资源占用极低(CPU/内存消耗小),适合在资源受限的Kubernetes环境中部署
- Kubernetes原生集成:支持与Kubernetes API Server、RBAC(基于角色的访问控制)等原生组件无缝对接
- 访问控制策略执行:可依据预定义策略对集群内资源访问请求进行实时检查与拦截,确保仅授权请求被允许
- 实时监控与审计:提供访问日志记录功能,支持对访问行为进行实时监控与审计追踪,满足合规性需求
- 高可用性:支持多实例部署,具备故障自愈能力,保障访问控制功能的持续可用
使用场景与适用范围
- Kubernetes集群访问控制管理:适用于各类Kubernetes集群(包括自建、云托管集群)的访问安全管控
- 多租户环境资源隔离:在多租户Kubernetes集群中,可通过该代理实现租户间资源访问的严格隔离
- 企业级合规性要求:满足金融、政务等对访问控制与审计有严格合规要求的企业环境
- 精细化权限控制场景:需要对Pod间通信、服务访问、敏感配置读取等行为进行精细化权限管控的场景
使用方法与配置说明
基本部署(Docker Run)
docker run -d \ --name nano-access-agent \ -e K8S_API_SERVER=[***] \ -e POLICY_CONFIG=/etc/agent/policy.yaml \ -v /path/to/your/policy.yaml:/etc/agent/policy.yaml \ -v /var/run/secrets/kubernetes.io/serviceaccount:/var/run/secrets/kubernetes.io/serviceaccount \ your-registry/nano-access-agent:latest
Kubernetes部署(DaemonSet示例)
apiVersion: apps/v1 kind: DaemonSet metadata: name: nano-access-agent namespace: kube-system spec: selector: matchLabels: app: nano-access-agent template: metadata: labels: app: nano-access-agent spec: containers: - name: nano-access-agent image: your-registry/nano-access-agent:latest env: - name: K8S_API_SERVER value: "[***]" - name: LOG_LEVEL value: "info" volumeMounts: - name: policy-config mountPath: /etc/agent/policy.yaml subPath: policy.yaml - name: sa-token mountPath: /var/run/secrets/kubernetes.io/serviceaccount readOnly: true volumes: - name: policy-config configMap: name: nano-agent-policy - name: sa-token secret: secretName: default-token-xxxx
环境变量配置
| 环境变量名 | 描述 | 默认值 | 可选值 |
|---|---|---|---|
K8S_API_SERVER | Kubernetes API服务器地址 | [***] | 有效的K8S API地址 |
POLICY_CONFIG | 访问控制策略配置文件路径 | /etc/agent/policy.yaml | 容器内可访问的文件路径 |
LOG_LEVEL | 日志级别 | info | debug, info, warn, error |
SYNC_INTERVAL | 策略同步间隔(秒) | 30 | 正整数 |
策略配置示例(policy.yaml)
apiVersion: access-agent.nano/v1 kind: AccessPolicy rules: - resource: apiGroup: "" resource: "pods" verbs: ["get", "list", "watch"] subjects: - kind: "ServiceAccount" name: "default" namespace: "default" action: "allow" - resource: apiGroup: "apps" resource: "deployments" verbs: ["create", "update", "delete"] subjects: - kind: "Group" name: "admin" action: "allow" - action: "deny" # 默认拒绝所有未匹配规则的请求
注意事项
- 部署前需确保Kubernetes集群版本≥1.16(RBAC功能需正常启用)
- 策略配置文件需提前通过ConfigMap或Secret挂载至容器内指定路径
- 建议为代理容器配置适当的资源限制(如
resources: {limits: {cpu: "100m", memory: "128Mi"}, requests: {cpu: "50m", memory: "64Mi"}})以避免资源竞争 - 生产环境中应启用TLS加密(通过挂载证书文件并配置
TLS_CERT_PATH与TLS_KEY_PATH环境变量)以保障通信安全
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429