cyberark/secretless-broker

Secretless Broker 镜像文档

镜像概述

Secretless Broker 是一款连接代理工具，其核心功能是使客户端应用程序能够安全连接到目标服务（如数据库、Web服务、SSH服务器等），而无需获取或管理密钥。通过该代理，应用程序可直接与目标服务建立安全通信，大幅简化密钥管理流程，提升系统安全性。

核心功能和特性

• 密钥免管理：客户端应用无需直接存储、获取或处理访问目标服务的密钥，降低密钥泄露风险
• 透明身份验证：自动处理与目标服务的身份验证流程，对应用程序透明，无需修改应用代码
• 多服务兼容：支持多种目标服务类型，包括数据库、Web服务、SSH服务器等常见服务
• 安全通信保障：确保客户端与目标服务之间的连接安全，强化端到端通信安全性

使用场景和适用范围

典型使用场景

• 微服务架构：在微服务间通信时，简化跨服务调用的密钥管理
• 多服务访问场景：需同时连接数据库、Web API、SSH服务器等多种服务的应用环境
• 密钥安全强化：希望减少密钥在应用层暴露，降低密钥管理复杂度的场景
• 开发/生产环境统一：适用于从开发、测试到生产的全生命周期，统一密钥管理策略

适用范围

• 需安全访问外部服务的客户端应用
• 对密钥管理安全性有较高要求的系统
• 需要简化服务访问配置的开发团队

使用方法和配置说明

前提条件

• Docker 环境（推荐18.09+版本）
• 目标服务（如数据库、Web服务）的网络可达性
• 本地配置文件（定义代理规则及目标服务信息）

获取镜像

通过Docker Hub拉取官方镜像（镜像名称以官方发布为准）：

bash
docker pull cyberark/secretless-broker

基本运行命令

Secretless Broker需通过配置文件定义代理规则，基本运行命令如下：

bash
docker run -d \
  -v /path/to/local/config.yaml:/etc/secretless/secretless.yml \
  -p <host-port>:<broker-port> \
  --name secretless-broker \
  cyberark/secretless-broker

参数说明

• -v /path/to/local/config.yaml:/etc/secretless/secretless.yml：挂载本地配置文件到容器内指定路径
• -p <host-port>:<broker-port>：映射容器端口到主机，客户端通过主机端口访问代理
• --name secretless-broker：指定容器名称，便于管理

配置文件示例

配置文件采用YAML格式，需定义监听者（listeners）和处理者（handlers）。以下为连接PostgreSQL数据库的示例：

yaml
version: "2"
services:
  postgres-proxy:
    listener:
      protocol: tcp
      address: 0.0.0.0:5432  # 代理监听端口
    handler:
      type: postgres  # 目标服务类型
      params:
        address: "target-postgres:5432"  # 目标服务地址
        username: "db-user"  # 目标服务用户名（无需客户端配置）
        password: "vault:secret/path#password"  # 密钥来源（如Vault，无需客户端管理）

客户端连接示例

客户端通过Secretless Broker暴露的端口访问目标服务，无需配置目标服务密钥：

bash
# 示例：通过代理连接PostgreSQL数据库
psql -h localhost -p 5432 -U db-user target-db-name

源代码与更多信息

• 源代码：https://github.com/cyberark/secretless-broker
• 支持的目标服务类型及详细配置说明，请参考官方GitHub仓库文档