niis/xroad-security-server-sidecar
niis
支持生产环境使用的X-Road安全服务器容器化版本,可与信息系统运行在相同虚拟环境中,用于服务的消费和提供。
4 次收藏下载次数: 0状态:社区镜像维护者:niis仓库类型:镜像最近更新:1 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
X-Road安全服务器Sidecar
X-Road安全服务器Sidecar是支持生产环境使用的安全服务器容器化版本。Sidecar是一个Docker容器,与信息系统运行在相同的虚拟环境(虚拟主机、Kubernetes Pod等)中,可用于服务的消费和提供。
完整的https://github.com/nordic-institute/X-Road/tree/develop/doc/Sidecar%E5%92%8Chttps://github.com/nordic-institute/X-Road/tree/develop/sidecar/%E5%8F%AF%E5%9C%A8GitHub%E4%B8%8A%E8%8E%B7%E5%8F%96%E3%80%82
支持的平台
X-Road安全服务器Sidecar可通过Docker(Linux,x86-64架构)或Kubernetes部署。Windows或macOS的Docker Desktop(x86-64)可用于测试和开发,但不支持生产环境使用。
最低推荐规格
- CPU:2个
- 内存:3 GiB(精简版,完整版容器需4 GiB或更多)
- 磁盘空间:3 GiB
快速入门指南
运行X-Road安全服务器Sidecar,使用以下命令:
bashdocker run --detach \ --name <容器名称> \ -p 127.0.0.1:<管理端口>:4000 \ -p 127.0.0.1:<健康检查端口>:5588 \ -p <消费方信息系统端口>:8443 \ -p 5500:5500 \ -p 5577:5577 \ -e XROAD_TOKEN_PIN=<令牌PIN码> \ -e XROAD_ADMIN_USER=<管理员用户> \ -e XROAD_ADMIN_PASSWORD=<管理员密码> \ -e XROAD_LOG_LEVEL=INFO \ # 可选参数 - 开始 -v <配置卷>:/etc/xroad \ -v <归档卷>:/var/lib/xroad \ -v <数据库卷>:/var/lib/postgresql/12/main \ -e XROAD_DB_HOST=<数据库主机> \ -e XROAD_DB_PORT=<数据库端口> \ -e XROAD_DB_PWD=<PostgreSQL密码> \ # 可选参数 - 结束 niis/xroad-security-server-sidecar:<版本[-类型[-变体]>
注意!此命令将所有配置持久化到Sidecar容器内部,这意味着容器销毁时状态会丢失。生产环境中应使用持久卷,建议使用独立数据库。
可用镜像
安全服务器Sidecar提供适用于独立部署和Kubernetes集群部署的镜像。每个安全服务器版本号(如7.0.0等)都有其专属镜像集。镜像基于从X-Road官方仓库下载的预构建软件包构建。
所有镜像均可作为服务提供方或消费方安全服务器,但部分镜像功能有限。带国家代码后缀的镜像(如-fi)包含特定国家配置,无后缀镜像使用X-Road默认配置。
| 功能 | Sidecar | Sidecar Slim |
|---|---|---|
| 消费服务 | 是 | 是 |
| 提供服务 | 是 | 是 |
| https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ug-ss_x-road_6_security_server_user_guide.md#11-message-log | 是 | 否 |
| https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ug-ss_x-road_6_security_server_user_guide.md#16-environmental-monitoring | 是 | 否 |
| https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ug-ss_x-road_6_security_server_user_guide.md#15-operational-monitoring | 是 | 否 |
独立部署
安全服务器Sidecar提供多种配置的独立部署镜像:
| 镜像 | 描述 |
|---|---|
| niis/xroad-security-server-sidecar:<version>-slim | 精简版镜像,包含运行所需的最小软件包和配置 |
| niis/xroad-security-server-sidecar:<version> | 完整版镜像,基于精简版构建,增加消息日志、环境监控和运行监控功能 |
| niis/xroad-security-server-sidecar:<version>-slim-<variant> | 与精简版镜像相同,包含NIIS成员/合作伙伴国家变体(ee、fi、fo、is)配置 |
| niis/xroad-security-server-sidecar:<version>-<variant> | 与完整版镜像相同,包含NIIS成员/合作伙伴国家变体配置 |
集群部署
所有X-Road安全服务器Sidecar独立部署镜像均适用于Kubernetes部署。此外,还提供适用于Kubernetes负载均衡部署的镜像,包含主Pod和从Pod所需配置,详情参见https://github.com/nordic-institute/X-Road/blob/develop/doc/Sidecar/kubernetes_security_server_sidecar_user_guide.md#23-multiple-pods-using-a-load-***%E3%80%82
| 镜像 | 描述 |
|---|---|
| niis/xroad-security-server-sidecar:<version>-slim-primary | 基于精简版的主Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-slim-secondary | 基于精简版的从Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-primary | 基于完整版(含消息日志和监控)的主Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-secondary | 基于完整版的从Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-slim-primary-<variant> | 含NIIS成员配置的精简版主Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-slim-secondary-<variant> | 含NIIS成员配置的精简版从Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-primary-<variant> | 含NIIS成员配置的完整版主Pod部署镜像 |
| niis/xroad-security-server-sidecar:<version>-secondary-<variant> | 含NIIS成员配置的完整版从Pod部署镜像 |
X-Road安全服务器Sidecar部署要点与限制
- 精简版Sidecar不支持消息日志、运行监控和环境监控功能,服务提供方安全服务器建议使用完整版。
- Sidecar自行创建和管理内部TLS密钥与证书,并自行处理TLS终止。集群环境中使用外部负载均衡器时,负载均衡器必须启用SSL透传,确保TLS终止由Sidecar完成。
- 容器内通过supervisord以root用户运行
xroad服务,但启动的进程非root用户。为避免潜在安全问题,可配置Docker使用Linux用户命名空间,使容器内root用户在主机上非root(用户ID 0)。详情参见<[***]>。
如何获取最新安全更新?
最新三个次要版本提供月度安全更新,通常于每月25日发布,严重漏洞会额外发布更新。更新包含最新基础镜像及其中的软件包和安全修复,X-Road安全服务器软件及其包本身无变更(此类变更随版本号更新发布)。
更新步骤
- 使用以下命令拉取目标版本的最新镜像:
bashdocker pull niis/xroad-security-server-sidecar:<目标版本[-类型[-变体]>
注意:若未拉取最新版本,Docker可能使用本地相同版本的旧镜像。可在Docker Hub查看各镜像的最后更新时间。
- 按照https://github.com/nordic-institute/X-Road/blob/develop/doc/Sidecar/security_server_sidecar_user_guide.md#4-upgrading%E6%8F%8F%E8%BF%B0%E7%9A%84Sidecar%E5%8D%87%E7%BA%A7%E6%AD%A5%E9%AA%A4%E6%93%8D%E4%BD%9C%E3%80%82%E5%8D%87%E7%BA%A7%E6%B5%81%E7%A8%8B%E4%B8%8EX-Road%E7%89%88%E6%9C%AC%E5%8D%87%E7%BA%A7%E7%9B%B8%E5%90%8C%EF%BC%8C%E9%9C%80%E7%AC%A6%E5%90%88%E5%8D%87%E7%BA%A7%E6%8C%87%E5%8D%97%E4%B8%AD%E7%9A%84%E8%A6%81%E6%B1%82%E3%80%82
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 xroad-security-server-sidecar 镜像标签
docker pull docker.xuanyuan.run/niis/xroad-security-server-sidecar:<标签>
DockerHub 原生拉取命令
docker pull niis/xroad-security-server-sidecar:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"