niis/xroad-security-server-sidecar Docker 镜像 - 轩辕镜像

X-Road安全服务器Sidecar

X-Road安全服务器Sidecar是支持生产环境使用的安全服务器容器化版本。Sidecar是一个Docker容器，与信息系统运行在相同的虚拟环境（虚拟主机、Kubernetes Pod等）中，可用于服务的消费和提供。

完整的文档和源代码可在GitHub上获取。

支持的平台

X-Road安全服务器Sidecar可通过Docker（Linux，x86-64架构）或Kubernetes部署。Windows或macOS的Docker Desktop（x86-64）可用于测试和开发，但不支持生产环境使用。

最低推荐规格

• CPU：2个
• 内存：3 GiB（精简版，完整版容器需4 GiB或更多）
• 磁盘空间：3 GiB

快速入门指南

运行X-Road安全服务器Sidecar，使用以下命令：

bash
docker run --detach \
  --name <容器名称> \
  -p 127.0.0.1:<管理端口>:4000 \
  -p 127.0.0.1:<健康检查端口>:5588 \
  -p <消费方信息系统端口>:8443 \
  -p 5500:5500 \
  -p 5577:5577 \
  -e XROAD_TOKEN_PIN=<令牌PIN码> \
  -e XROAD_ADMIN_USER=<管理员用户> \
  -e XROAD_ADMIN_PASSWORD=<管理员密码> \
  -e XROAD_LOG_LEVEL=INFO \
  # 可选参数 - 开始
  -v <配置卷>:/etc/xroad \
  -v <归档卷>:/var/lib/xroad \
  -v <数据库卷>:/var/lib/postgresql/12/main \
  -e XROAD_DB_HOST=<数据库主机> \
  -e XROAD_DB_PORT=<数据库端口> \
  -e XROAD_DB_PWD=<PostgreSQL密码> \
  # 可选参数 - 结束
  niis/xroad-security-server-sidecar:<版本[-类型[-变体]>

注意！此命令将所有配置持久化到Sidecar容器内部，这意味着容器销毁时状态会丢失。生产环境中应使用持久卷，建议使用独立数据库。

可用镜像

安全服务器Sidecar提供适用于独立部署和Kubernetes集群部署的镜像。每个安全服务器版本号（如7.0.0等）都有其专属镜像集。镜像基于从X-Road官方仓库下载的预构建软件包构建。

所有镜像均可作为服务提供方或消费方安全服务器，但部分镜像功能有限。带国家代码后缀的镜像（如-fi）包含特定国家配置，无后缀镜像使用X-Road默认配置。

独立部署

安全服务器Sidecar提供多种配置的独立部署镜像：

集群部署

所有X-Road安全服务器Sidecar独立部署镜像均适用于Kubernetes部署。此外，还提供适用于Kubernetes负载均衡部署的镜像，包含主Pod和从Pod所需配置，详情参见此处。

X-Road安全服务器Sidecar部署要点与限制

• 精简版Sidecar不支持消息日志、运行监控和环境监控功能，服务提供方安全服务器建议使用完整版。
• Sidecar自行创建和管理内部TLS密钥与证书，并自行处理TLS终止。集群环境中使用外部负载均衡器时，负载均衡器必须启用SSL透传，确保TLS终止由Sidecar完成。
• 容器内通过supervisord以root用户运行xroad服务，但启动的进程非root用户。为避免潜在安全问题，可配置Docker使用Linux用户命名空间，使容器内root用户在主机上非root（用户ID 0）。详情参见<[***]>。

如何获取最新安全更新？

最新三个次要版本提供月度安全更新，通常于每月25日发布，严重漏洞会额外发布更新。更新包含最新基础镜像及其中的软件包和安全修复，X-Road安全服务器软件及其包本身无变更（此类变更随版本号更新发布）。

更新步骤

1. 使用以下命令拉取目标版本的最新镜像：

bash
docker pull niis/xroad-security-server-sidecar:<目标版本[-类型[-变体]>

注意：若未拉取最新版本，Docker可能使用本地相同版本的旧镜像。可在Docker Hub查看各镜像的最后更新时间。

2. 按照此处描述的Sidecar升级步骤操作。升级流程与X-Road版本升级相同，需符合升级指南中的要求。