dadrus/heimdall

云原生的身份感知代理与访问控制决策服务

0 次下载activedadrus镜像

Heimdall Docker镜像文档

1. 镜像概述与主要用途

Heimdall 是一款云原生身份感知代理（Identity Aware Proxy）和访问控制决策服务，受零信任（Zero Trust）理念启发，旨在为Web应用提供细粒度的身份认证、授权及上下文信息管理能力。其核心功能包括对传入的HTTP请求进行认证与授权校验、丰富请求上下文信息，并将处理后的主体信息（Subject Information）转换为上游服务所需的格式，且所有控制逻辑可由各后端服务独立配置。

2. 核心功能与特性

身份认证与授权：对传入的HTTP请求进行统一的身份认证和权限校验，拒绝未授权请求。
上下文信息增强：为请求添加额外的上下文信息（如用户属性、环境 metadata 等），辅助上游服务决策。
主体信息转换：将认证后的用户主体信息（如身份标识、权限声明）转换为上游服务兼容的格式（如JWT、HTTP头）。
后端服务独立控制：支持各后端服务根据自身需求独立配置认证授权策略，实现差异化访问控制。
多平台支持：提供跨架构镜像，支持 linux/amd64、linux/arm64、linux/arm/v7 平台。
安全保障：所有镜像通过 Cosign 进行签名，附带有 SBOM（软件物料清单） attestation，支持无密钥签名验证，确保镜像完整性与安全性。

3. 使用场景与适用范围

3.1 反向代理模式

作为反向代理部署于上游 API 或 Web 服务器前端，直接拦截并处理所有请求：

拒绝未通过认证授权的请求，保护上游服务免受未授权访问。
转发通过校验的请求，并附加处理后的身份信息。
适用场景：独立 API 服务保护、Web 应用身份前置验证。

3.2 决策服务模式

与现有 API 网关（如 Kong、NGINX、Envoy、Traefik 等）集成，作为策略决策点（PDP）：

接收网关转发的请求上下文，返回授权决策结果（允许/拒绝）。
无需直接处理流量，仅提供访问控制逻辑。
适用场景：复杂网关架构、已有流量路由层需增强身份认证能力。

4. 使用方法与配置说明

4.1 镜像选择

4.1.1 支持平台

Heimdall 提供多平台镜像，支持以下架构：

linux/amd64
linux/arm64
linux/arm/v7

如需其他平台支持，可在 GitHub 仓库提交 issue 或贡献代码。

4.1.2 镜像标签规则

稳定版：已发布版本，标签格式为 dadrus/heimdall:<version>（如 dadrus/heimdall:0.17.1），latest 标签指向最新稳定版。
开发版：基于 main 分支构建，标签格式为 dev（最新开发版）或 dev-<SHA>（特定提交，如 dev-730b2206）。

4.2 基本部署示例

4.2.1 Docker Run 命令

bash
# 使用最新稳定版镜像，挂载本地配置目录
docker run -d \
  --name heimdall \
  -p 8080:8080 \  # 暴露服务端口
  -v /path/to/local/config:/etc/heimdall \  # 挂载配置文件目录（需提前准备配置）
  dadrus/heimdall:latest

4.2.2 Docker Compose 配置

yaml
version: '3.8'
services:
  heimdall:
    image: dadrus/heimdall:latest
    container_name: heimdall
    ports:
      - "8080:8080"
    volumes:
      - ./config:/etc/heimdall  # 本地配置目录映射到容器内配置路径
    restart: unless-stopped
    # 如需自定义环境变量，可添加 environment 字段
    # environment:
    #   - LOG_LEVEL=info

注意：配置文件需参考 ***文档编写，容器内默认配置路径为 /etc/heimdall。

4.3 镜像验证

Heimdall 镜像通过 Cosign 进行签名，签名与 SBOM attestation 存储于同一仓库，标签格式分别为 sha256-<SHA256>.sig（签名）和 sha256-<SHA256>.att（SBOM），采用无密钥签名机制。

验证方法及 SBOM 提取步骤详见 ***文档。

5. 许可证

Heimdall 基于 Apache-2.0 许可证开源。

6. 参考链接

***文档
GitHub 仓库

查看更多 heimdall 相关镜像 →

linuxserver/heimdall

by linuxserver.io

linuxserver/heimdall 是一款轻量高效的Docker应用仪表板镜像，专为集中管理各类Web服务、应用和工具设计。支持自定义布局、分类整理与图标显示，可将常用服务（如NAS管理、智能家居平台、媒体服务器等）整合为直观入口，实现一键快速访问。采用响应式界面，适配电脑、平板及手机设备，操作简单且资源占用低，是个人服务器、家庭实验室或多服务环境下优化访问体验的理想工具。

1153500M+ pulls

上次更新：14 天前

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker加速体验非常流畅，大镜像也能快速完成下载。"

常见问题

Q1:轩辕镜像免费版与专业版有什么区别？

免费版仅支持 Docker Hub 加速，不承诺可用性和速度；专业版支持更多镜像源，保证可用性和稳定速度，提供优先客服响应。

Q2:轩辕镜像免费版与专业版有分别支持哪些镜像？

免费版仅支持 docker.io；专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。

Q3:流量耗尽错误提示

当返回 402 Payment Required 错误时，表示流量已耗尽，需要充值流量包以恢复服务。

Q4:410 错误问题

通常由 Docker 版本过低导致，需要升级到 20.x 或更高版本以支持 V2 协议。

Q5:manifest unknown 错误

先检查 Docker 版本，版本过低则升级；版本正常则验证镜像信息是否正确。

Q6:镜像拉取成功后，如何去掉轩辕镜像域名前缀？

使用 docker tag 命令为镜像打上新标签，去掉域名前缀，使镜像名称更简洁。

查看全部问题→

轩辕镜像下载加速使用手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

登录仓库拉取

通过 Docker 登录认证访问私有仓库

Linux

在 Linux 系统配置镜像加速服务

Windows/Mac

在 Docker Desktop 配置镜像加速

Docker Compose

Docker Compose 项目配置加速

K8s Containerd

Kubernetes 集群配置 Containerd

宝塔面板

在宝塔面板一键配置镜像加速

群晖

Synology 群晖 NAS 配置加速

飞牛

飞牛 fnOS 系统配置镜像加速

极空间

极空间 NAS 系统配置加速服务

爱快路由

爱快 iKuai 路由系统配置加速

绿联

绿联 NAS 系统配置镜像加速

威联通

QNAP 威联通 NAS 配置加速

Podman

Podman 容器引擎配置加速

Singularity/Apptainer

HPC 科学计算容器配置加速

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

专属域名拉取

无需登录使用专属域名加速

需要其他帮助？请查看我们的常见问题或官方QQ群: 13763429

heimdall Docker 镜像下载 - 轩辕镜像

heimdall 镜像详细信息和使用指南

heimdall 镜像标签列表和版本信息

heimdall 镜像拉取命令和加速下载

heimdall 镜像使用说明和配置指南

Docker 镜像加速服务 - 轩辕镜像平台

国内开发者首选的 Docker 镜像加速平台

极速拉取 Docker 镜像服务

相关 Docker 镜像推荐

热门 Docker 镜像下载

heimdall 镜像详细信息

heimdall 镜像标签列表

heimdall 镜像使用说明

heimdall 镜像拉取命令

Docker 镜像加速服务

轩辕镜像平台优势

镜像下载指南