cyberark/conjur-authn-k8s-client Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
cyberark/conjur-authn-k8s-clientcyberark
Conjur Kubernetes集成的认证边车容器
5 次收藏下载次数: 0状态:社区镜像维护者:cyberark仓库类型:镜像最近更新:2 个月前
概述
此镜像用作认证边车容器,允许Pod中的应用容器获取Conjur访问令牌。应用可使用该访问令牌调用Conjur服务。
该镜像作为边车或初始化容器运行,负责向Conjur认证并将Conjur访问令牌写入/run/conjur/access-token。此访问令牌通过卷挂载与Pod的应用容器共享。
完整文档:
- Conjur开源文档:[***]
- AAM动态访问提供商(企业版)文档:[***]
GitHub项目:[***]
配置
边车容器的配置通过环境变量应用。
| 变量 | 描述 | 示例 |
|---|---|---|
| CONJUR_ACCOUNT | Conjur账户名 | acmeco |
| CONJUR_AUTHN_URL | 指向authn-k8s端点的URL | [***] |
| CONJUR_AUTHN_LOGIN | Conjur主机身份 | namespace01/deployment/myapp |
| CONJUR_SSL_CERTIFICATE | Conjur连接的公共SSL证书内容 | -----BEGIN CERTIFICATE-----... |
| MY_POD_NAME | Pod名称(参见Downward API) | metadata.name |
| MY_POD_NAMESPACE | Pod命名空间(参见Downward API) | metadata.namespace |
| CONTAINER_MODE | (可选)容器运行模式(边车或初始化容器)。默认值为'sidecar';允许值为'sidecar'或'init'。设为"init"时,容器将在完成认证并写入访问令牌后退出 | init |
| CONJUR_VERSION | (可选)Conjur版本。默认值为'5';允许值为'4'或'5'。仅Conjur企业版v4.x使用'4'。由于YAML解析问题,清单中必须使用字符串值 | 5 |
注意:在此示例中,必须加载名为conjur/authn-k8s/gke-prod的Conjur策略,并允许主机namespace01/deployment/myappread对该策略中定义的Web服务拥有execute权限。详细信息请参考文档。
卷
路径/run/conjur应作为共享卷挂载在应用容器和边车容器之间。应用容器只需读权限。
文件/run/conjur/access-token可被summon-conjur直接读取,作为环境变量CONJUR_AUTHN_TOKEN_FILE。
文件内容也可通过Conjur Ruby API客户端读取,如下所示:
require 'conjur-api' Conjur.configuration.apply_cert_config! token = JSON.parse(File.read("/run/conjur/access-token")) api = Conjur::API.new_from_token(token) puts api.variable("inventory-db/password").value
此边车容器将每5分钟刷新一次令牌。
使用Conjur认证令牌时,无需指定用户或主机身份。
regclient/regctl
regclient
用于访问OCI兼容容器仓库的命令行工具
2 次收藏50万+ 次下载
5 天前更新
regclient/regsync
regclient
Docker仓库同步工具,用于在不同Docker镜像仓库间实现镜像的同步管理。
3 次收藏10万+ 次下载
5 天前更新
percona/pmm-client
percona
PMM Client镜像,作为Percona监控和管理(PMM)的客户端组件,用于收集数据库及相关服务的监控数据并发送至PMM Server,实现对数据库环境的监控与管理。
7 次收藏500万+ 次下载
1 个月前更新
regclient/regbot
regclient
Docker镜像仓库脚本工具,用于自动化管理Docker镜像仓库相关任务。
2 次收藏10万+ 次下载
5 天前更新
redislabs/re-call-home-client
redislabs
暂无描述
100万+ 次下载
16 天前更新
bitnami/minio-client
bitnami
Bitnami提供的minio-client安全镜像,用于管理MinIO对象存储,具备安全可靠的部署特性。
11 次收藏100万+ 次下载
6 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"