热门搜索:
i386/vault
i386
Vault是一个通过统一接口安全访问密钥的工具,提供严格的访问控制和详细审计日志,适用于管理API密钥、密码、证书等敏感信息。
下载次数: 0状态:社区镜像维护者:i386仓库类型:镜像最近更新:2 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
弃用通知
Vault 1.14起,我们将停止在Dockerhub发布官方镜像,仅发布Verified Publisher镜像。Docker镜像用户应从https://hub.docker.com/r/hashicorp/vault%E6%8B%89%E5%8F%96%EF%BC%8C%E8%80%8C%E9%9D%9Ehttps://hub.docker.com/_/vault%E3%80%82Verified Publisher镜像可在https://hub.docker.com/r/hashicorp/vault%E8%8E%B7%E5%8F%96%E3%80%82
快速参考
-
维护者:
https://github.com/hashicorp/docker-vault -
获取帮助:
Docker社区Slack、Server Fault、Unix & Linux或Stack Overflow
支持的标签及对应Dockerfile链接
无支持标签
快速参考(续)
-
问题提交地址:
https://github.com/hashicorp/docker-vault/issues?q= -
支持的架构:(https://github.com/docker-library/official-images#architectures-other-than-amd64)
无支持架构 -
已发布镜像工件详情:
https://github.com/docker-library/repo-info/blob/master/repos/vault%EF%BC%88https://github.com/docker-library/repo-info/commits/master/repos/vault%EF%BC%89
(镜像元数据、传输大小等) -
镜像更新:
https://github.com/docker-library/official-images/issues?q=label%3Alibrary%2Fvault
https://github.com/docker-library/official-images/blob/master/library/vault%EF%BC%88https://github.com/docker-library/official-images/commits/master/library/vault%EF%BC%89 -
本描述来源:
https://github.com/docker-library/docs/tree/master/vault%EF%BC%88https://github.com/docker-library/docs/commits/master/vault%EF%BC%89
Vault
Vault是用于安全访问密钥的工具。密钥是任何需要严格控制访问的信息,如API密钥、密码、证书等。Vault提供统一的密钥访问接口,同时提供严格的访问控制和详细的审计日志。更多信息请参见:
- Vault文档
- https://github.com/hashicorp/vault
!https://raw.githubusercontent.com/docker-library/docs/90d4d43bdfccd5cb21e5fd964d32b0074af0f357/vault/logo.svg?sanitize=true
使用容器
我们选择Alpine作为轻量级基础镜像,具有较小的安全***面,同时具备足够的开发和交互式调试功能。
Vault始终在https://github.com/Yelp/dumb-init%E4%B8%8B%E8%BF%90%E8%A1%8C%EF%BC%8C%E5%AE%83%E5%A4%84%E7%90%86%E5%83%B5%E5%B0%B8%E8%BF%9B%E7%A8%8B%E5%9B%9E%E6%94%B6%E5%B9%B6%E5%B0%86%E4%BF%A1%E5%8F%B7%E8%BD%AC%E5%8F%91%E5%88%B0%E5%AE%B9%E5%99%A8%E4%B8%AD%E8%BF%90%E8%A1%8C%E7%9A%84%E6%89%80%E6%9C%89%E8%BF%9B%E7%A8%8B%E3%80%82%E8%AF%A5%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%96%87%E4%BB%B6%E7%94%B1HashiCorp%E6%9E%84%E5%BB%BA%E5%B9%B6%E4%BD%BF%E7%94%A8%E6%88%91%E4%BB%AC%E7%9A%84GPG%E5%AF%86%E9%92%A5%E7%AD%BE%E5%90%8D%EF%BC%8C%E5%9B%A0%E6%AD%A4%E6%82%A8%E5%8F%AF%E4%BB%A5%E9%AA%8C%E8%AF%81%E7%94%A8%E4%BA%8E%E6%9E%84%E5%BB%BA%E7%89%B9%E5%AE%9A%E5%9F%BA%E7%A1%80%E9%95%9C%E5%83%8F%E7%9A%84%E5%B7%B2%E7%AD%BE%E5%90%8D%E5%8C%85%E3%80%82
不带参数运行Vault容器将启动开发模式的Vault服务器。提供的入口点脚本还会查找Vault子命令并使用该子命令运行vault。例如,执行docker run vault status将在容器内运行vault status命令。入口点在运行server子命令时还会添加一些特殊配置选项,详见下文。其他任何命令都会在dumb-init下通过exec在容器内执行。
容器公开两个可选VOLUME:
/vault/logs:用于写入持久审计日志。默认不写入任何内容;必须启用file审计后端并指定此目录下的路径。/vault/file:使用file数据存储插件时用于写入持久存储数据。默认不写入任何内容(dev服务器使用内存数据存储);必须在启动容器前在Vault配置中启用file数据存储后端。
容器在/vault/config设置了Vault配置目录,服务器会加载通过卷挂载或构建新镜像添加到此目录的任何HCL或JSON配置文件。此外,可通过环境变量VAULT_LOCAL_CONFIG传入配置JSON来添加配置。
内存锁定与'setcap'
容器会尝试锁定内存以防止敏感值交换到磁盘,因此必须向docker run提供--cap-add=IPC_LOCK。由于Vault二进制文件以非root用户运行,使用setcap为二进制文件提供锁定内存的能力。在某些发行版的某些Docker存储插件中,此调用可能无法正常工作;最常见于AUFS。可通过将环境变量SKIP_SETCAP设置为任意非空值来禁用内存锁定行为。
开发环境运行Vault
console$ docker run --cap-add=IPC_LOCK -d --name=dev-vault vault
这将运行完全基于内存的Vault服务器,适用于开发,但不应在生产环境使用。
在开发模式下,可通过环境变量设置两个额外选项:
VAULT_DEV_ROOT_TOKEN_ID:将初始生成的根令牌ID设置为指定值VAULT_DEV_LISTEN_ADDRESS:设置开发服务器监听器的IP:端口(默认0.0.0.0:8200)
示例:
console$ docker run --cap-add=IPC_LOCK -e 'VAULT_DEV_ROOT_TOKEN_ID=myroot' -e 'VAULT_DEV_LISTEN_ADDRESS=0.0.0.0:1234' vault
开发环境服务器模式运行Vault
console$ docker run --cap-add=IPC_LOCK -e 'VAULT_LOCAL_CONFIG={"storage": {"file": {"path": "/vault/file"}}, "listener": [{"tcp": { "address": "0.0.0.0:8200", "tls_disable": true}}], "default_lease_ttl": "168h", "max_lease_ttl": "720h", "ui": true}' -p 8200:8200 vault server
此命令运行禁用TLS的Vault服务器,使用file存储后端(路径/vault/file),默认密钥租约期限为1周,最长30天。禁用TLS和使用file存储后端不建议在生产环境使用。
注意--cap-add=IPC_LOCK:这是Vault锁定内存(防止交换到磁盘)所必需的,强烈推荐使用。在非开发环境中,若不希望使用此功能,必须在配置信息中添加"disable_mlock: true"。
启动时,服务器将从/vault/config读取配置HCL和JSON文件(传入VAULT_LOCAL_CONFIG的任何信息都会写入此目录下的local.json并作为配置文件的一部分读取)。请参见Vault的配置文档获取完整选项列表。
建议通过卷挂载目录到Docker镜像,为Vault提供配置和TLS证书。可通过以下命令实现:
console$ docker run --volume config/:/vault/config.d ...
为提高可扩展性和可靠性,建议在k8s或OpenShift等编排环境中运行容器化Vault。
自0.6.3版本起,此容器还支持VAULT_REDIRECT_INTERFACE和VAULT_CLUSTER_INTERFACE环境变量。若设置,Vault配置中用于重定向和集群地址的IP将为容器内指定接口的地址(如eth0)。
许可证
查看此镜像中包含软件的https://raw.githubusercontent.com/hashicorp/vault/master/LICENSE%E3%80%82
与所有Docker镜像一样,这些镜像可能还包含其他受其他许可证约束的软件(如基础发行版中的Bash等,以及主要软件的任何直接或间接依赖项)。
一些能够自动检测的附加许可证信息可能位于https://github.com/docker-library/repo-info/tree/master/repos/vault%E3%80%82
对于任何预构建镜像的使用,镜像用户有责任确保对本镜像的任何使用符合其中包含的所有软件的相关许可证。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull i386/vault:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"