dadrus/heimdall
dadrus
云原生的身份感知代理与访问控制决策服务
下载次数: 0状态:社区镜像维护者:dadrus仓库类型:镜像最近更新:11 天前
Heimdall Docker镜像文档
1. 镜像概述与主要用途
Heimdall 是一款云原生身份感知代理(Identity Aware Proxy)和访问控制决策服务,受零信任(Zero Trust)理念启发,旨在为Web应用提供细粒度的身份认证、授权及上下文信息管理能力。其核心功能包括对传入的HTTP请求进行认证与授权校验、丰富请求上下文信息,并将处理后的主体信息(Subject Information)转换为上游服务所需的格式,且所有控制逻辑可由各后端服务独立配置。
2. 核心功能与特性
- 身份认证与授权:对传入的HTTP请求进行统一的身份认证和权限校验,拒绝未授权请求。
- 上下文信息增强:为请求添加额外的上下文信息(如用户属性、环境 metadata 等),辅助上游服务决策。
- 主体信息转换:将认证后的用户主体信息(如身份标识、权限声明)转换为上游服务兼容的格式(如JWT、HTTP头)。
- 后端服务独立控制:支持各后端服务根据自身需求独立配置认证授权策略,实现差异化访问控制。
- 多平台支持:提供跨架构镜像,支持
linux/amd64、linux/arm64、linux/arm/v7平台。 - 安全保障:所有镜像通过 Cosign 进行签名,附带有 SBOM(软件物料清单) attestation,支持无密钥签名验证,确保镜像完整性与安全性。
3. 使用场景与适用范围
3.1 反向代理模式
作为反向代理部署于上游 API 或 Web 服务器前端,直接拦截并处理所有请求:
- 拒绝未通过认证授权的请求,保护上游服务免受未授权访问。
- 转发通过校验的请求,并附加处理后的身份信息。
- 适用场景:独立 API 服务保护、Web 应用身份前置验证。
3.2 决策服务模式
与现有 API 网关(如 Kong、NGINX、Envoy、Traefik 等)集成,作为策略决策点(PDP):
- 接收网关转发的请求上下文,返回授权决策结果(允许/拒绝)。
- 无需直接处理流量,仅提供访问控制逻辑。
- 适用场景:复杂网关架构、已有流量路由层需增强身份认证能力。
4. 使用方法与配置说明
4.1 镜像选择
4.1.1 支持平台
Heimdall 提供多平台镜像,支持以下架构:
linux/amd64linux/arm64linux/arm/v7
如需其他平台支持,可在 https://github.com/dadrus/heimdall 提交 issue 或贡献代码。
4.1.2 镜像标签规则
- 稳定版:已发布版本,标签格式为
dadrus/heimdall:<version>(如dadrus/heimdall:0.17.1),latest标签指向最新稳定版。 - 开发版:基于
main分支构建,标签格式为dev(最新开发版)或dev-<SHA>(特定提交,如dev-730b2206)。
4.2 基本部署示例
4.2.1 Docker Run 命令
bash# 使用最新稳定版镜像,挂载本地配置目录 docker run -d \ --name heimdall \ -p 8080:8080 \ # 暴露服务端口 -v /path/to/local/config:/etc/heimdall \ # 挂载配置文件目录(需提前准备配置) dadrus/heimdall:latest
4.2.2 Docker Compose 配置
yamlversion: '3.8' services: heimdall: image: dadrus/heimdall:latest container_name: heimdall ports: - "8080:8080" volumes: - ./config:/etc/heimdall # 本地配置目录映射到容器内配置路径 restart: unless-stopped # 如需自定义环境变量,可添加 environment 字段 # environment: # - LOG_LEVEL=info
注意:配置文件需参考 官方文档 编写,容器内默认配置路径为
/etc/heimdall。
4.3 镜像验证
Heimdall 镜像通过 Cosign 进行签名,签名与 SBOM attestation 存储于同一仓库,标签格式分别为 sha256-<SHA256>.sig(签名)和 sha256-<SHA256>.att(SBOM),采用无密钥签名机制。
验证方法及 SBOM 提取步骤详见 官方文档。
5. 许可证
Heimdall 基于 https://github.com/dadrus/heimdall/blob/main/LICENSE 许可证开源。
6. 参考链接
- 官方文档
- https://github.com/dadrus/heimdall
linuxserver/heimdall
linuxserver
linuxserver/heimdall 是一款轻量高效的Docker应用仪表板镜像,专为集中管理各类Web服务、应用和工具设计。支持自定义布局、分类整理与图标显示,可将常用服务(如NAS管理、智能家居平台、媒体服务器等)整合为直观入口,实现一键快速访问。采用响应式界面,适配电脑、平板及手机设备,操作简单且资源占用低,是个人服务器、家庭实验室或多服务环境下优化访问体验的理想工具。
1.2千 次收藏5亿+ 次下载
20 天前更新
mitre/heimdall
mitre
Heimdall是InSpec评估和配置文件的集中可视化服务器,现该仓库已被heimdall2取代,请更新相关链接。
2 次收藏50万+ 次下载
5 年前更新
maticnetwork/heimdall
maticnetwork
Matic Proof-of-Stake validator node
1万+ 次下载
2 年前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"