cloudcustodian/c7n Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
cloudcustodian/c7ncloudcustodian
Cloud Custodian(c7n)是管理公共云账户和资源的规则引擎,允许用户定义策略以实现安全且成本优化的云基础设施管理,支持AWS、Azure、GCP等平台,通过YAML配置文件实现合规检查、标签策略和资源生命周期管理。
7 次收藏下载次数: 0状态:社区镜像维护者:cloudcustodian仓库类型:镜像最近更新:4 天前
Cloud Custodian (c7n)
是一款用于管理公共云账户和资源的规则引擎。它允许用户定义策略,以实现安全、成本优化的云基础设施管理,将组织中的临时脚本整合为轻量灵活的工具,并提供统一的指标和报告。
Custodian可用于管理AWS、Azure和GCP环境,确保实时符合安全策略(如加密和访问要求)、标签策略,以及通过清理未使用资源和非工作时间资源管理实现成本控制。同时支持对基础设施即代码(IaC)资产运行策略,直接在开发者工作站或CI流水线中提供反馈。
策略通过简单的YAML配置文件定义,针对特定资源类型(如EC2、ASG、Redshift、CosmosDB、PubSub Topic),由过滤器和操作构成。它可集成云服务商的无服务器能力实现实时策略执行,或作为定时任务在服务器上运行以处理大规模现有资源。Cloud Custodian是CNCF孵化项目,由数百名贡献者组成的社区主导。
核心功能和特性
- 全面云服务支持:支持公共云服务和资源,提供丰富的操作和过滤器库用于构建策略。
- IaC资产检查:可对基础设施即代码(如Terraform)资产运行策略。
- 灵活过滤:支持资源的任意过滤,包括嵌套布尔条件。
- 干运行模式:可预览策略执行效果,无需实际操作。
- 自动无服务器部署:自动配置无服务器函数和事件源(如AWS CloudWatchEvents、Azure EventGrid、GCP AuditLog等)。
- 原生指标输出:提供匹配策略的资源的云服务商原生指标。
- 结构化输出:将匹配策略的资源信息输出到云原生对象存储。
- 智能缓存:减少API调用,优化性能。
- 多账户/订阅/项目支持:支持跨账户、订阅或项目使用。
- 生产验证:已在大规模云环境中经过生产验证。
使用场景和适用范围
适用于需要管理公共云资源的组织和团队,包括:
- 云安全合规:实时检查和执行加密、访问控制等安全策略。
- 标签管理:确保资源符合标签规范,便于成本归属和资源识别。
- 成本优化:清理未使用资源、非工作时间自动关闭资源。
- IaC质量控制:在开发或CI阶段检查基础设施代码合规性。
- 多云管理:统一管理AWS、Azure、GCP等多平台资源。
使用方法和配置说明
策略文件示例
以下是AWS资源的示例策略(YAML格式):
yamlpolicies: - name: s3-cross-account description: | 检查S3存储桶的跨账户访问权限并移除。 resource: aws.s3 region: us-east-1 filters: - type: cross-account actions: - type: remove-statements statement_ids: matched - name: ec2-require-non-public-and-encrypted-volumes resource: aws.ec2 description: | 部署Lambda和CloudWatch事件目标,监控新实例并终止带未加密卷的实例。 mode: type: cloudtrail role: CloudCustodian-QuickStart events: - RunInstances filters: - type: ebs key: Encrypted value: false actions: - terminate - name: tag-compliance resource: aws.ec2 description: | 对不符合标签规范的资源计划4天后停止(需配合`marked-for-op`过滤器的单独策略实际执行停止操作)。 filters: - State.Name: running - "tag:Environment": absent - "tag:AppId": absent - or: - "tag:OwnerContact": absent - "tag:DeptID": absent actions: - type: mark-for-op op: stop days: 4
基本命令
验证策略
shellcustodian validate policy.yml
干运行策略(预览效果)
shellcustodian run --dryrun -s out policy.yml
运行策略
shellcustodian run -s out policy.yml
Docker部署示例
拉取镜像
shelldocker pull cloudcustodian/c7n
运行策略(使用环境变量认证)
shellmkdir output docker run -it \ -v $(pwd)/output:/home/custodian/output \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \ cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml
运行策略(使用AWS STS凭证)
shelldocker run -it \ -v $(pwd)/output:/home/custodian/output \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ -v $(cd ~ && pwd)/.aws/credentials:/home/custodian/.aws/credentials \ -v $(cd ~ && pwd)/.aws/config:/home/custodian/.aws/config \ --env-file <(env | grep "^AWS") \ cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml
云平台特定帮助
各云平台入门指南:
- AWS 入门
- Azure 入门
- GCP 入门
附加工具
Custodian项目还开发和维护了一系列附加工具(查看更多):
- c7n-org:多账户策略执行。
- c7n-left:对IaC资产(如Terraform)运行策略。
- c7n-policystream:将Git历史作为策略变更的逻辑流。
- c7n-salactus:大规模S3扫描。
- c7n-mailer:向用户发送通知的参考实现。
- c7n-trailcreator:通过CloudTrail追溯资源创建者标签。
- c7n-logexporter:将CloudWatch日志导出到S3。
- cask:通过Docker简化Custodian执行。
- c7n-guardian:自动多账户Guard Duty设置。
相关链接
- 官网
- 文档
- 项目路线图
- 开发者安装
- 演示文稿
- ***频道
参与贡献
详见贡献指南
安全说明
如发现安全相关问题或漏洞,请联系Custodian安全团队,团队将确认并反馈处理结果。
行为准则
本项目遵循CNCF行为准则,参与者应遵守该准则。===SHORT_DESC=== Cloud Custodian(c7n)是管理公共云账户和资源的规则引擎,允许用户定义策略以实现安全且成本优化的云基础设施管理,支持AWS、Azure、GCP等平台,通过YAML配置文件实现合规检查、标签管理和资源清理。
===FULL_DESC===
Cloud Custodian (c7n)
是一款用于管理公共云账户和资源的规则引擎,允许用户定义策略以实现安全且成本优化的云基础设施管理,将组织中的临时脚本整合为轻量灵活的工具,并提供统一的指标和报告。
支持AWS、Azure和GCP环境,确保实时符合安全策略(如加密和访问要求)、标签策略,以及通过清理未使用资源和非工作时间资源管理实现成本控制。同时支持对基础设施即代码(IaC)资产运行策略,直接在开发者工作站或CI流水线中提供反馈。
策略通过简单的YAML配置文件定义,针对特定资源类型(如EC2、ASG、Redshift等),由过滤器和操作构成。可集成云服务商的无服务器能力实现实时策略执行,或作为定时任务处理大规模现有资源。Cloud Custodian是CNCF孵化项目,由数百名贡献者组成的社区主导。
核心功能和特性
- 全面云服务支持:支持公共云服务和资源,提供丰富的操作和过滤器库用于构建策略。
- IaC资产检查:可对基础设施即代码(如Terraform)资产运行策略。
- 灵活过滤:支持资源的任意过滤,包括嵌套布尔条件。
- 干运行模式:可预览策略执行效果,无需实际操作。
- 自动无服务器部署:自动配置无服务器函数和事件源(如AWS CloudWatchEvents、Azure EventGrid等)。
- 原生指标输出:提供匹配策略的资源的云服务商原生指标。
- 结构化输出:将匹配策略的资源信息输出到云原生对象存储。
- 智能缓存:减少API调用,优化性能。
- 多账户/订阅/项目支持:支持跨账户、订阅或项目使用。
- 生产验证:已在大规模云环境中经过生产验证。
使用场景和适用范围
适用于需要管理公共云资源的组织和团队,包括:
- 云安全合规:实时检查和执行加密、访问控制等安全策略。
- 标签管理:确保资源符合标签规范,便于成本归属和资源识别。
- 成本优化:清理未使用资源、非工作时间自动关闭资源。
- IaC质量控制:在开发或CI阶段检查基础设施代码合规性。
- 多云管理:统一管理AWS、Azure、GCP等多平台资源。
使用方法和配置说明
策略文件示例(YAML)
yamlpolicies: - name: s3-cross-account description: 检查S3存储桶的跨账户访问权限并移除 resource: aws.s3 region: us-east-1 filters: - type: cross-account actions: - type: remove-statements statement_ids: matched - name: ec2-require-encrypted-volumes resource: aws.ec2 description: 终止带未加密EBS卷的新EC2实例 mode: type: cloudtrail role: CloudCustodian-QuickStart events: [RunInstances] filters: - type: ebs key: Encrypted value: false actions: [terminate] - name: tag-compliance resource: aws.ec2 description: 对不符合标签规范的实例计划4天后停止 filters: - State.Name: running - "tag:Environment": absent - "tag:AppId": absent - or: - "tag:OwnerContact": absent - "tag:DeptID": absent actions: - type: mark-for-op op: stop days: 4
基本命令
验证策略
shellcustodian validate policy.yml
干运行策略(预览效果)
shellcustodian run --dryrun -s out policy.yml
运行策略
shellcustodian run -s out policy.yml
Docker部署示例
拉取镜像
shelldocker pull cloudcustodian/c7n
运行策略(使用环境变量认证)
shellmkdir output docker run -it \ -v $(pwd)/output:/home/custodian/output \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \ cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml
运行策略(使用AWS STS凭证)
shelldocker run -it \ -v $(pwd)/output:/home/custodian/output \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ -v ~/.aws/credentials:/home/custodian/.aws/credentials \ -v ~/.aws/config:/home/custodian/.aws/config \ --env-file <(env | grep "^AWS") \ cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml
云平台特定帮助
- AWS 入门
- Azure 入门
- GCP 入门
相关链接
- 官网
- 文档
- 项目路线图
- 开发者安装
- ***频道
附加工具
项目提供多种附加工具(查看更多):
- c7n-org:多账户策略执行
- **c7n
cloudcustodian/c7n-org
cloudcustodian
c7n-org是Cloud Custodian的多账户策略执行工具,支持在AWS、Azure、GCP等云平台的多个账户/订阅/项目中批量执行策略,实现跨账户云资源的统一合规管理、安全检查和成本优化。
3 次收藏1亿+ 次下载
4 天前更新
cloudkats/c7n-mailer
cloudkats
非官方的Cloud Custodian邮件器Docker镜像,用于云安全、成本优化和治理的规则引擎,支持通过YAML策略对资源进行查询、筛选和执行操作,并实现出站邮件传递功能。
10万+ 次下载
1 年前更新
cloudcustodian/c7n-left
cloudcustodian
Cloud Custodian的基础设施即代码(IaC)策略评估工具,用于直接针对IaC源代码资产评估策略,并提供独立CLI以增强命令行用户体验。
1 次收藏1万+ 次下载
4 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"