本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
csm-authorization-sidecar Docker 镜像下载 - 轩辕镜像
csm-authorization-sidecar 镜像详细信息和使用指南
csm-authorization-sidecar 镜像标签列表和版本信息
csm-authorization-sidecar 镜像拉取命令和加速下载
csm-authorization-sidecar 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
dellemc/csm-authorization-sidecar
csm-authorization-sidecar 镜像详细信息
csm-authorization-sidecar 镜像标签列表
csm-authorization-sidecar 镜像使用说明
csm-authorization-sidecar 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
Container Storage Modules (CSM) Authorization Sidecar是一个提供存储访问授权功能的边车容器,用于在容器化环境中管理和控制存储资源的访问权限,支持与CSM生态系统集成,确保存储操作的安全授权与合规性。
5 收藏0 次下载activedellemc镜像
csm-authorization-sidecar 镜像详细说明
csm-authorization-sidecar 使用指南
csm-authorization-sidecar 配置说明
csm-authorization-sidecar 官方文档
CSM Authorization Sidecar 镜像文档
镜像概述
Container Storage Modules (CSM) Authorization Sidecar是一个轻量级边车容器,专为容器化环境设计,提供存储资源访问的授权控制功能。作为CSM(Container Storage Modules)生态系统的一部分,该镜像通过拦截和验证存储操作请求,实现基于策略的访问控制,确保只有经过授权的操作才能访问存储资源,从而增强存储层的安全性。
核心功能与特性
- 细粒度授权控制:支持基于用户、角色、操作类型和资源路径的多维度授权策略,实现精细化的访问控制。
- CSM生态集成:无缝对接CSM其他组件(如CSM for Observability、CSM for Replication等),形成完整的存储管理解决方案。
- 策略动态更新:支持授权策略的动态加载与更新,无需重启容器即可应用新的授权规则。
- 日志与审计:提供详细的授权决策日志,支持审计跟踪,便于问题排查和合规性检查。
- 轻量级设计:资源占用低,适合在资源受限的容器环境(如Kubernetes节点)中部署。
使用场景
- Kubernetes存储授权:在Kubernetes集群中作为Sidecar与存储客户端容器(如应用Pod)协同运行,控制对PVC(PersistentVolumeClaim)或存储后端的访问。
- 多租户存储隔离:在多租户环境中,通过授权策略限制不同租户对存储资源的访问范围,确保数据隔离。
- 存储操作合规性:满足***、***等行业对存储访问的合规性要求,通过授权策略强制执行操作规范。
- CSM部署环境:在采用CSM作为存储管理框架的环境中,作为授权层组件,与CSM核心模块协同工作。
使用方法
基本部署(Docker Run)
docker run -d \ --name csm-auth-sidecar \ --network=host \ -e CSM_AUTH_POLICY_PATH=/etc/csm/auth/policy.json \ -e CSM_LOG_LEVEL=info \ -e CSM_AUTHZ_ENDPOINT=http://localhost:8080/authz \ -v /host/path/to/policy:/etc/csm/auth \ dell/csm-authorization-sidecar:latest
Kubernetes部署(Sidecar模式)
在Kubernetes Pod中作为Sidecar与主容器协同部署的示例:
apiVersion: v1 kind: Pod metadata: name: app-with-csm-auth spec: containers: - name: main-app image: your-app-image:latest # 主应用容器配置... - name: csm-auth-sidecar image: dell/csm-authorization-sidecar:latest env: - name: CSM_AUTH_POLICY_PATH value: /etc/csm/auth/policy.json - name: CSM_LOG_LEVEL value: info - name: CSM_AUTHZ_ENDPOINT value: http://localhost:8080/authz volumeMounts: - name: auth-policy mountPath: /etc/csm/auth volumes: - name: auth-policy configMap: name: csm-auth-policy-configmap # 包含授权策略文件的ConfigMap
环境变量配置
| 环境变量名称 | 描述 | 默认值 | 是否必填 |
|---|---|---|---|
CSM_AUTH_POLICY_PATH | 授权策略文件的路径 | /etc/csm/policy.json | 否 |
CSM_LOG_LEVEL | 日志级别(debug/info/warn/error) | info | 否 |
CSM_AUTHZ_ENDPOINT | 授权服务监听端点(格式:[***] | [***] | 否 |
CSM_AUTH_CACHE_TTL | 授权决策缓存超时时间(秒) | 300 | 否 |
CSM_TLS_ENABLED | 是否启用TLS加密通信(true/false) | false | 否 |
CSM_TLS_CERT_PATH | TLS证书文件路径(当CSM_TLS_ENABLED=true时) | /etc/csm/tls/cert.pem | 否 |
CSM_TLS_KEY_PATH | TLS私钥文件路径(当CSM_TLS_ENABLED=true时) | /etc/csm/tls/key.pem | 否 |
授权策略文件格式
策略文件采用JSON格式,示例如下:
{ "policies": [ { "id": "policy-1", "principals": ["user:alice", "role:admin"], // 允许的用户或角色 "actions": ["read", "write"], // 允许的操作 "resources": ["pvc:default/my-pvc", "storage-class:gold"], // 允许访问的资源 "effect": "allow" // 策略效果(allow/deny) }, { "id": "policy-2", "principals": ["user:bob"], "actions": ["read"], "resources": ["pvc:default/my-pvc"], "effect": "allow" } ] }
注意事项
- 授权策略文件需通过挂载(如Docker volume或Kubernetes ConfigMap)提供给Sidecar容器。
- 生产环境中建议启用TLS加密(设置
CSM_TLS_ENABLED=true),并确保证书和私钥文件的安全存储。 - 策略更新后,Sidecar会自动检测并加载新策略(默认检测间隔为30秒,可通过
CSM_POLICY_RELOAD_INTERVAL环境变量调整)。 - 日志可通过标准输出(stdout)收集,建议结合日志收集工具(如Promtail、Fluentd)进行集中管理。
docker/ucp-kube-dns-sidecar
by Docker, Inc.
认证
暂无描述
110M+ pulls
上次更新:5 年前
docker/aci-hostnames-sidecar
by Docker, Inc.
认证
Docker Compose“云集成”镜像的ECS和ACI集成功能已在2023年11月退役,当前主要优先级为关键安全修复,ECS用户可考虑使用compose-ecs。
41B+ pulls
上次更新:1 年前
rancher/k8s-dns-sidecar
by Rancher by SUSE
认证
暂无描述
1M+ pulls
上次更新:5 年前
docker/ecs-secrets-sidecar
by Docker, Inc.
认证
Docker Compose“Cloud Integrations”镜像原用于ECS和ACI集成,2023年11月已退役,目前主要优先处理关键安全修复,ECS用户可考虑使用compose-ecs。
110M+ pulls
上次更新:1 年前
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429