crowdsecurity/lua-bouncer-plugin Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
crowdsecurity/lua-bouncer-plugincrowdsecurity
Crowdsec Lua bouncer插件,用于为Ingress-nginx入口控制器提供***流量检测与阻止功能。
下载次数: 0状态:社区镜像维护者:crowdsecurity仓库类型:镜像最近更新:5 个月前
CrowdSec Lua Plugin 技术文档
一、镜像概述和主要用途
CrowdSec Lua Plugin 是一款与 Ingress Nginx 控制器配合使用的 Lua 插件(bouncer),用于集成 CrowdSec 安全防护系统。其核心用途是将 CrowdSec 生成的安全决策(如 IP 封禁、限流等)应用于 Ingress Nginx 层面,实现对入站流量的实时过滤和防护,有效阻止***请求访问后端服务。
二、核心功能和特性
-
多模式运行:支持两种工作模式
stream模式:定期从 CrowdSec 本地 API(LAPI)拉取安全决策并缓存(默认模式)live模式:实时查询 LAPI 验证每个请求的决策
-
高效缓存机制:通过
lua_shared_dict实现跨 Worker 进程的决策缓存,减少对 LAPI 的重复请求,提升性能 -
灵活的决策配置:可指定需要处理的决策类型(如
ban、captcha等),支持自定义缓存过期时间、缓存大小和请求超时 -
配置方式多样:支持通过环境变量动态配置,或挂载自定义配置文件覆盖默认设置
三、使用场景和适用范围
适用场景
- 使用 Ingress Nginx 作为入口控制器的 Kubernetes 集群环境
- 需要集成 CrowdSec 安全决策(如 IP 封禁、异常流量拦截)的 Web 应用防护场景
- 需实时或定期同步安全策略,提升入口层防护能力的场景(如 DDoS 缓解、爬虫治理等)
适用范围
- 基于 Nginx/OpenResty 的反向代理或入口控制器
- 与 CrowdSec 本地 API(LAPI)部署在同一网络环境,确保插件可访问 LAPI 服务
四、配置说明
4.1 配置方式
插件支持两种配置方式,优先级为:挂载自定义配置文件 > 环境变量。
- 环境变量:通过容器环境变量注入配置(适用于动态调整)
- 配置文件:挂载自定义配置文件至
/etc/crowdsec/bouncers/crowdsec-openresty-bouncer.conf(适用于复杂配置)
4.2 环境变量详解
| 环境变量 | 描述 | 默认值 | 示例 |
|---|---|---|---|
API_URL | CrowdSec 本地 API(LAPI)的访问地址 | - | -e API_URL="[***]" |
API_KEY | 用于访问 LAPI 的认证密钥(需与 CrowdSec 服务端配置一致) | - | -e API_KEY="your_lapi_secret_key" |
CACHE_EXPIRATION | 仅 live 模式生效:决策缓存过期时间(秒) | 1 | -e CACHE_EXPIRATION="5" |
CACHE_SIZE | 缓存中可存储的最大决策数量 | 1000 | -e CACHE_SIZE="2000" |
BOUNCING_ON_TYPE | 需要处理的决策类型(如 ban、captcha 等) | ban | -e BOUNCING_ON_TYPE="ban,captcha" |
REQUEST_TIMEOUT | 向 LAPI 发送请求的超时时间(秒) | 0.2 | -e REQUEST_TIMEOUT="0.5" |
UPDATE_FREQUENCY | 仅 stream 模式生效:从 LAPI 拉取决策的频率(秒) | 10 | -e UPDATE_FREQUENCY="30" |
MODE | 工作模式:stream(定期拉取)或 live(实时查询) | stream | -e MODE="live" |
4.3 缓存配置
插件使用 Nginx 的 lua_shared_dict 共享内存区域存储决策缓存,默认大小为 50m。如需调整缓存大小,需通过 Ingress Nginx 的 ConfigMap 配置(参考 Ingress Nginx 文档),示例配置:
yaml# ingress-nginx ConfigMap 片段 apiVersion: v1 kind: ConfigMap metadata: name: ingress-nginx-controller namespace: ingress-nginx data: lua-shared-dicts: "crowdsec_cache 100m" # 调整缓存大小为 100m
五、使用方法
5.1 Docker 部署示例
以下为简化的 Docker 运行示例(实际场景中通常与 Ingress Nginx 容器集成):
bashdocker run -d \ --name crowdsec-lua-plugin \ -e API_URL="[***]" \ -e API_KEY="your_lapi_secret_key" \ -e MODE="stream" \ -e UPDATE_FREQUENCY="10" \ -e CACHE_SIZE="2000" \ -v /path/to/custom/config:/etc/crowdsec/bouncers/crowdsec-openresty-bouncer.conf \ # 可选:挂载自定义配置文件 crowdsecurity/crowdsec-lua-plugin:latest
注意:实际部署时需确保插件与 Ingress Nginx 控制器在同一网络,且 LAPI 地址可访问。
5.2 Kubernetes 配置提示
在 Kubernetes 环境中,通常通过 Helm 安装 Ingress Nginx 时集成该插件,关键配置项包括:
- 通过
--set controller.extraEnvs注入环境变量 - 通过
--set controller.config.lua-shared-dicts调整缓存大小 - 通过
--set controller.extraVolumes和--set controller.extraVolumeMounts挂载自定义配置文件
六、卷挂载说明
| 卷路径 | 用途 |
|---|---|
/etc/crowdsec/ | 存放 CrowdSec 相关配置文件(如自定义 bouncer 配置) |
七、重要文件位置
- 插件代码路径:
/usr/local/openresty/lualib/plugins/crowdsec(CrowdSec Lua 库文件) - Nginx 配置路径:
/etc/nginx/conf.d(加载插件和配置的 Nginx 配置文件)
八、其他信息
8.1 项目地址
- cs-openresty-bouncer GitHub
- CrowdSec GitHub
8.2 贡献指南
请阅读 贡献文档 了解代码规范和 PR 提交流程。
8.3 许可证
本项目基于 MIT 许可证开源,详见 LICENSE 文件。
bitnami/pgbouncer
bitnami
Bitnami的pgbouncer安全镜像已不在Docker Hub免费提供,可通过Bitnami Secure Images商业订阅获取,提供基于Debian和Photon基础操作系统的OCI制品,具备安全加固、漏洞管理、合规性支持等企业级安全特性。
21 次收藏1000万+ 次下载
5 个月前更新
grafana/fluent-bit-plugin-loki
grafana
暂无描述
10 次收藏1亿+ 次下载
4 天前更新
intel/intel-gpu-plugin
intel
Intel GPU设备插件是一款为Kubernetes集群开发的组件,旨在实现对Intel GPU资源的识别、管理与高效调度,支持部署GPU加速的工作负载,包括AI模型训练、高性能计算、数据分析等任务,并通过优化资源分配和实时监控,提升集群中GPU资源的利用率及相关工作负载的运行效率。
15 次收藏1000万+ 次下载
28 天前更新
rocm/k8s-device-plugin
rocm
Kubernetes (k8s)设备插件,用于将AMD GPU注册到容器集群中,支持计算工作负载调度
7 次收藏500万+ 次下载
1 个月前更新
grafana/fluent-plugin-loki
grafana
暂无描述
1 次收藏50万+ 次下载
4 天前更新
rancher/ui-plugin-operator
rancher
暂无描述
100万+ 次下载
1 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"