hashicorp/vault-plugin-database-elasticsearch Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
hashicorp/vault-plugin-database-elasticsearchhashicorp
HashiCorp Vault的后端插件,使用原生X-Pack Security为Elasticsearch提供唯一的短期凭证,适用于容器化运行,仅支持Linux上的Vault服务器。
下载次数: 0状态:社区镜像维护者:hashicorp仓库类型:镜像最近更新:5 个月前
Vault Elasticsearch数据库插件镜像
概述
Vault Elasticsearch数据库插件镜像为HashiCorp Vault提供后端插件容器化部署能力。该插件通过原生X-Pack Security机制,为Elasticsearch集群生成唯一且短期有效的访问凭证,确保数据访问的安全性与可控性。镜像仅支持在Linux操作系统上运行的Vault服务器环境。
核心功能与特性
- 动态凭证管理:自动生成具有时效性的Elasticsearch访问凭证,减少长期静态凭证泄露风险
- X-Pack Security集成:原生支持Elasticsearch X-Pack Security认证体系,无需额外适配
- 容器化部署:提供轻量级容器封装,简化插件在容器化Vault环境中的部署与管理
- 平台兼容性:专为Linux平台的Vault服务器优化,确保稳定运行
使用场景
- 需通过Vault集中管理Elasticsearch访问权限的企业级环境
- 要求数据库凭证定期自动轮换的安全合规场景
- 容器化部署的Vault服务需要扩展Elasticsearch数据库支持的场景
- 多团队共享Elasticsearch集群时的细粒度权限控制需求
使用方法
前提条件
- 运行在Linux系统上的Vault服务器(v1.0+)
- 已启用X-Pack Security的Elasticsearch集群(v7.0+推荐)
- 具备Docker环境及容器网络访问权限
- Vault服务器已配置插件目录并启用插件系统
获取镜像
从官方容器仓库拉取最新版本镜像:
bashdocker pull hashicorp/vault-plugin-database-elasticsearch:latest
运行插件容器
将插件文件挂载至Vault插件目录,确保Vault可加载:
bashdocker run -d \ --name vault-elasticsearch-plugin \ --volume /etc/vault/plugins:/plugins \ --user root \ hashicorp/vault-plugin-database-elasticsearch:latest \ cp /vault-plugin-database-elasticsearch /plugins/
Vault配置流程
1. 注册插件
在Vault中注册插件(需先计算插件SHA256校验和):
bash# 计算插件校验和 SHA256=$(shasum -a 256 /etc/vault/plugins/vault-plugin-database-elasticsearch | awk '{print $1}') # 注册插件 vault plugin register -sha256="${SHA256}" database elasticsearch-database-plugin
2. 启用数据库后端
bashvault secrets enable database
3. 配置Elasticsearch连接
bashvault write database/config/elasticsearch \ plugin_name="elasticsearch-database-plugin" \ connection_url="https://<elasticsearch-host>:9200" \ username="elastic-admin" \ password="elastic-admin-password" \ allowed_roles="dev-team,ops-team"
4. 创建角色与权限策略
定义Elasticsearch角色权限模板:
bashvault write database/roles/dev-team \ db_name="elasticsearch" \ creation_statements='{ "elasticsearch_role_definition": { "cluster": ["monitor"], "indices": [ {"names": ["dev-*"], "privileges": ["read", "write", "create_index"]} ] } }' \ default_ttl="1h" \ max_ttl="24h"
5. 生成访问凭证
应用角色获取动态凭证:
bashvault read database/creds/dev-team
配置参数说明
| 参数名 | 类型 | 描述 | 必需 |
|---|---|---|---|
| connection_url | string | Elasticsearch集群访问URL(含端口) | 是 |
| username | string | Elasticsearch管理员用户名(需具备角色管理权限) | 是 |
| password | string | Elasticsearch管理员密码 | 是 |
| allowed_roles | string | 允许使用此配置的Vault角色列表(逗号分隔) | 否 |
| creation_statements | string | JSON格式的Elasticsearch角色权限定义 | 是 |
| default_ttl | string | 凭证默认有效期(如"1h") | 否 |
| max_ttl | string | 凭证最大有效期(如"24h") | 否 |
注意事项
- 插件容器需与Vault服务器保持网络连通,确保插件注册与通信正常
- Elasticsearch管理员账户需具备"manage_security"集群权限,以创建临时角色
- 凭证有效期设置应根据业务需求平衡安全性与可用性,建议default_ttl不超过24小时
- 生产环境中应通过Docker volume挂载方式持久化插件文件,避免容器重启导致插件丢失
vault
Docker 官方镜像
Vault是一款通过统一接口安全访问机密的工具,提供严格的访问控制和详细的审计日志。
1.2千 次收藏5亿+ 次下载
1 年前更新
hashicorp/vault
hashicorp
HashiCorp Vault官方Docker镜像,用于在容器环境中安全存储、访问和管理机密信息,提供官方认证的部署方案。
211 次收藏1亿+ 次下载
7 天前更新
hashicorp/vault-k8s
hashicorp
提供Vault与Kubernetes之间的一流集成,支持两者高效安全协作的工具。
20 次收藏5000万+ 次下载
7 天前更新
vaultwarden/web-vault
vaultwarden
用于vaultwarden Docker镜像的Web保管库构建,支持其Web界面功能。
32 次收藏5万+ 次下载
21 天前更新
grafana/fluent-bit-plugin-loki
grafana
暂无描述
10 次收藏1亿+ 次下载
13 小时前更新
bitnamicharts/vault
bitnamicharts
Bitnami提供的HashiCorp Vault Helm chart,用于在Kubernetes集群上部署Vault——一款通过统一界面安全管理和访问密钥的工具,支持安全存储、动态密钥、数据加密及撤销功能。
100万+ 次下载
6 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"