hashicorp/vault-plugin-secrets-gcp Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
hashicorp/vault-plugin-secrets-gcphashicorp
Hashicorp Vault的GCP密钥后端插件,用于与Vault配合管理GCP机密。
下载次数: 0状态:社区镜像维护者:hashicorp仓库类型:镜像最近更新:5 个月前
Vault GCP Secrets Plugin Docker镜像文档
1. 概述
1.1 镜像概述
Vault GCP Secrets Plugin是HashiCorp Vault的后端插件,用于动态生成Google Cloud Platform (GCP) 服务账号密钥和OAuth令牌。该插件基于IAM策略控制访问权限,允许用户无需手动创建或管理专用服务账号,即可安全访问GCP资源。其Docker镜像专为容器化环境设计,用于在容器中运行该插件。
1.2 主要用途
- 动态生成临时GCP服务账号密钥,避免长期静态凭证的安全风险
- 动态生成OAuth令牌,用于访问GCP API
- 通过Vault的统一权限控制体系,基于IAM策略管理GCP资源访问权限
- 在容器环境中部署和运行Vault GCP Secrets插件
2. 核心功能与特性
- 动态凭证生成:基于预定义的IAM策略,实时生成GCP服务账号密钥和OAuth令牌,凭证具有自动过期机制
- IAM策略集成:支持通过GCP IAM策略定义访问权限,确保凭证权限最小化
- 无状态运行:插件本身不存储持久化数据,依赖Vault的存储层管理配置和状态
- 容器化支持:提供Docker镜像,支持在容器环境中部署和运行
- 平台兼容性:仅支持与运行在Linux系统的Vault服务器配合使用
3. 使用场景与适用范围
3.1 使用场景
- 安全访问GCP资源:需要通过Vault统一管理GCP资源访问凭证的场景
- 自动化流程集成:CI/CD流水线、自动化脚本等需要临时GCP凭证的场景
- 多团队权限隔离:多团队共享GCP项目时,通过Vault策略实现权限隔离和最小权限控制
- 凭证轮换自动化:需要定期轮换GCP服务账号密钥的合规性场景
3.2 适用范围
- 运行环境:仅支持运行在Linux操作系统的Vault服务器
- 集成环境:需接入GCP的Vault部署环境,且Vault服务器具有访问GCP API的网络权限
- 用户对象:Vault管理员、DevOps工程师、需要安全管理GCP凭证的技术团队
4. 使用方法与配置说明
4.1 前置条件
- 已部署运行在Linux系统的Vault服务器(版本需兼容插件要求,具体参考官方文档)
- 已安装Docker环境(用于运行插件容器)
- 拥有GCP项目访问权限,可配置IAM策略和服务账号
4.2 部署步骤
4.2.1 拉取镜像
从容器 registry 拉取插件镜像(具体镜像名称以官方发布为准,示例中使用占位符):
bashdocker pull hashicorp/vault-plugin-secrets-gcp:latest
4.2.2 运行插件容器
将插件二进制文件挂载到Vault服务器的插件目录(Vault插件目录需在plugin_directory配置中指定):
bashdocker run -d \ --name vault-gcp-secrets-plugin \ -v /path/to/vault/plugins:/plugins \ hashicorp/vault-plugin-secrets-gcp:latest \ cp /vault-plugin-secrets-gcp /plugins/
说明:插件容器的主要作用是提供插件二进制文件,实际运行由Vault服务器加载并管理
4.2.3 配置Vault插件
-
计算插件SHA256哈希(Vault加载插件时需验证):
bashsha256sum /path/to/vault/plugins/vault-plugin-secrets-gcp -
注册插件到Vault:
bashvault plugin register -sha256=<插件SHA256哈希> secret vault-plugin-secrets-gcp -
启用插件后端:
bashvault secrets enable -path=gcp vault-plugin-secrets-gcp -
配置GCP连接(需提供GCP认证信息,如服务账号密钥):
bashvault write gcp/config \ credentials=@/path/to/gcp-service-account-key.json \ project=<GCP项目ID>
4.3 核心配置参数
通过vault write命令配置插件时支持以下核心参数:
| 参数名 | 说明 | 示例值 |
|---|---|---|
credentials | GCP服务账号密钥JSON内容(或文件路径) | @/secrets/gcp-key.json |
project | GCP项目ID | my-gcp-project-*** |
max_ttl | 生成凭证的最大TTL(可选) | 24h |
ttl | 生成凭证的默认TTL(可选) | 1h |
5. 参考链接
- 官方GitHub仓库
- HashiCorp Vault官方文档
- GCP IAM策略文档
vault
Docker 官方镜像
Vault是一款通过统一接口安全访问机密的工具,提供严格的访问控制和详细的审计日志。
1.2千 次收藏5亿+ 次下载
1 年前更新
hashicorp/vault-secrets-operator
hashicorp
Vault密钥操作器的自动构建镜像,基于当前版本进行构建。
2 次收藏100万+ 次下载
20 天前更新
hashicorp/vault
hashicorp
HashiCorp Vault官方Docker镜像,用于在容器环境中安全存储、访问和管理机密信息,提供官方认证的部署方案。
210 次收藏1亿+ 次下载
1 个月前更新
hashicorp/vault-k8s
hashicorp
提供Vault与Kubernetes之间的一流集成,支持两者高效安全协作的工具。
20 次收藏5000万+ 次下载
2 个月前更新
hashicorp/secrets-store-csi-driver-provider-vault
hashicorp
用于密钥存储容器存储接口(CSI)驱动程序的Vault提供程序
100万+ 次下载
5 年前更新
hashicorp/vault-plugin-secrets-azure
hashicorp
HashiCorp Vault的Azure secrets后端插件,用于生成可撤销、限时的Microsoft Azure服务主体,Docker镜像支持在容器中运行插件,仅适用于Linux上的Vault服务器。
2.2千+ 次下载
5 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"