热门搜索:
minio/kes
KES是一个用于大规模管理和分发密钥的工具
KES
KES 是一个云原生分布式密钥管理和加密服务器,旨在为现代应用程序提供大规模安全保障。
什么是 KES?
KES 是一个可水平扩展的分布式密钥管理服务器。它既可以作为边缘服务器运行在应用附近,减少对中央密钥管理系统(KMS)的延迟和负载,也可以作为中央密钥管理服务器。边缘服务器是靠近应用的独立无状态节点,可以自动扩缩容。中央 KES 服务器或集群是安全存储和管理加密密钥与机密的有状态系统。
安装
KES 服务器和 CLI 可通过单一二进制文件、容器镜像获取,或从源代码构建。
Homebrew
shbrew install minio/stable/kes
Docker
通过以下命令拉取最新版本:
docker pull minio/kes
二进制发布版
| 操作系统 | 架构 | 二进制文件 |
|---|---|---|
| Linux | amd64 | https://github.com/minio/kes/releases/latest/download/kes-linux-amd64 |
| Linux | arm64 | https://github.com/minio/kes/releases/latest/download/kes-linux-arm64 |
| Linux | ppc64le | https://github.com/minio/kes/releases/latest/download/kes-linux-ppc64le |
| Linux | s390x | https://github.com/minio/kes/releases/latest/download/kes-linux-s390x |
| Apple M1 | arm64 | https://github.com/minio/kes/releases/latest/download/kes-darwin-arm64 |
| Apple | amd64 | https://github.com/minio/kes/releases/latest/download/kes-darwin-amd64 |
| Windows | amd64 | https://github.com/minio/kes/releases/latest/download/kes-windows-amd64.exe |
你也可以使用 https://jedisct1.github.io/minisign/ 验证二进制文件,方法是下载对应的 https://github.com/minio/kes/releases/latest 签名文件,然后运行:
minisign -Vm kes-<操作系统>-<架构> -P RWTx5Zr1tiHQLwG9keckT0c45M3AGeHD6IvimQHpyRywVWGbP1aVSGav
从源代码构建
通过 Go 工具链下载并安装二进制文件:
shgo install github.com/minio/kes/cmd/kes@latest
快速开始
我们在 https://play.min.io:7373 运行了一个公共 KES 实例供你实验。你可以通过 KES CLI 或 cURL 与该实例交互。或者,你也可以在不到五分钟内搭建自己的 KES 服务器。
CLI
1. 配置 CLI
将 KES CLI 指向 https://play.min.io:7373 的 KES 服务器,并使用以下 API 密钥:
shexport KES_SERVER=https://play.min.io:7373 export KES_API_KEY=kes:v1:AD9E7FSYWrMD+VjhI6q545cYT9YOyFxZb7UnjEepYDRc
2. 创建密钥
接下来,创建一个新的根加密密钥(例如 my-key):
kes key create my-key
注意:如果密钥已存在,创建操作将失败并显示
key already exist。
3. 生成 DEK
现在,你可以使用该密钥派生新的数据加密密钥(DEK):
shkes key dek my-key
DEK 的明文部分将被应用程序用于加密数据,密文部分将与加密数据一起存储,以便将来解密。
服务器
如需快速启动设置,请查看我们的 https://github.com/minio/kes/wiki/Filesystem-Keystore%E3%80%82%E6%9B%B4%E5%A4%9A%E5%8F%82%E8%80%83%E8%AF%B7%E6%9F%A5%E7%9C%8B%E6%88%91%E4%BB%AC%E7%9A%84%E5%AF%86%E9%92%A5%E5%BA%93 https://github.com/minio/kes/wiki#guides%E3%80%82
cURL
1. 获取管理员凭证
首先,你需要下载私钥和证书,以管理员身份认证到 KES 服务器:
shcurl -sSL --tlsv1.2 \ -O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \ -O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
2. 创建密钥
接下来,创建一个新的根加密密钥(例如 my-key):
shcurl -sSL --tlsv1.3 \ --key root.key \ --cert root.cert \ -X POST 'https://play.min.io:7373/v1/key/create/my-key'
注意:如果密钥已存在,创建操作将失败并显示
key already exist。
3. 生成 DEK
现在,你可以使用该密钥派生新的数据加密密钥(DEK):
shcurl -sSL --tlsv1.3 \ --key root.key \ --cert root.cert \ --data '{}' \ -X POST 'https://play.min.io:7373/v1/key/generate/my-key'
DEK 的明文部分将被应用程序用于加密数据,密文部分将与加密数据一起存储,以便将来解密。
4. 更多参考
完整的 REST API 端点列表请参考 KES https://github.com/minio/kes/wiki/Server-API%E3%80%82
文档
如需了解更多关于 KES 的信息,请查看我们的 https://github.com/minio/kes/wiki%EF%BC%9A
- https://github.com/minio/kes/wiki#supported-kms-targets
- https://github.com/minio/kes/wiki/Server-API
- https://pkg.go.dev/github.com/minio/kes-go
常见问题
我收到了 insufficient permissions 错误
这意味着你使用的 KES 身份无权执行特定操作(如创建或列出密钥)。
KES https://github.com/minio/kes/blob/6452cdc079dfae54e4a46102cb4622c80b99776f/server-config.yaml#L8 可以执行任何通用 API 操作。使用管理员身份执行通用 API 操作时,不应出现 not authorized: insufficient permissions 错误。
除管理员身份外,KES 支持基于策略的访问控制模型。以下两种情况会导致 not authorized: insufficient permissions 错误:
-
使用未分配任何策略的 KES 身份:KES 拒绝未知身份发出的请求。
解决方法是为该身份分配策略,参考 https://github.com/minio/kes/blob/6452cdc079dfae54e4a46102cb4622c80b99776f/server-config.yaml#L79-L88%E3%80%82
-
使用已分配策略但策略不允许甚至拒绝 API 调用的 KES 身份:
这种情况下,需在分配给该身份的策略中授予 API 权限。参考 https://github.com/minio/kes/wiki/Server-API#api-overview%E3%80%82%E4%BE%8B%E5%A6%82%EF%BC%8C%E5%88%9B%E5%BB%BA%E5%AF%86%E9%92%A5%E6%97%B6%E5%BA%94%E5%85%81%E8%AE%B8
/v1/key/create/<key-name>,其中<key-name>可以是特定密钥名(如my-key-1)或允许任意密钥名的模式(如my-key*)。注意:拒绝规则优先于允许规则。因此,需确保任何拒绝模式不会意外匹配你的 API 请求。
许可证
KES 的使用受 AGPLv3 许可证约束,详情参见 LICENSE 文件。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull minio/kes:<标签>
更多 kes 镜像推荐
kestra/kestra
kestra
Kestra是一个开源的事件驱动编排平台,支持计划和事件驱动工作流,采用声明式YAML定义,集成Git版本控制,拥有丰富插件生态系统,可实现高可扩展性和可靠性,适用于数据、流程和微服务编排。
18 次收藏100万+ 次下载
7 天前更新
keszi000/audiodb
keszi000
portal-images
10万+ 次下载
2 年前更新
keshavdv/unifi-cam-proxy
keshavdv
Integrate non-Ubiquiti cameras with Unifi NVR
14 次收藏10万+ 次下载
3 年前更新
keshiaphww9h/tmarm
keshiaphww9h
暂无描述
10万+ 次下载
2 年前更新
kesque/pulsar-all
kesque
暂无描述
10万+ 次下载
4 年前更新
keshavprasad/pod-deleter
keshavprasad
暂无描述
1万+ 次下载
2 个月前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
轩辕镜像支持 docker push 上传本地镜像吗?
不支持 push
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"