opensciencegrid/oidc-agent Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
opensciencegrid/oidc-agentopensciencegrid
oidc-agent的容器镜像,用于安全管理OpenID Connect (OIDC) 凭证,支持自动刷新和跨应用共享,适用于需要OIDC认证的应用环境。
下载次数: 0状态:社区镜像维护者:opensciencegrid仓库类型:镜像最近更新:13 天前
oidc-agent 容器镜像文档
概述
本镜像为oidc-agent的容器化版本,oidc-agent是一款轻量级工具,用于安全管理OpenID Connect (OIDC) 凭证(如访问令牌、刷新令牌)。该镜像解决了传统环境中凭证明文存储、手动刷新及跨应用共享困难等问题,提供加密存储、自动更新及标准化共享机制,适用于各类需要OIDC认证的应用场景。
核心功能
- 安全凭证存储:采用加密方式存储OIDC凭证,避免明文暴露,支持用户自定义加密密码。
- 自动令牌刷新:监控凭证有效期,自动向OIDC提供商发起刷新请求,维持凭证有效性。
- 跨应用共享:通过Unix域套接字实现凭证跨进程/容器共享,支持多个应用使用同一套凭证。
- 多提供商支持:兼容主流OIDC提供商(如Keycloak、Google、Microsoft Azure AD等),支持自定义提供商配置。
- 完整命令行工具:内置
oidc-add(添加凭证)、oidc-token(获取令牌)、oidc-remove(删除凭证)等命令,满足凭证全生命周期管理需求。
使用场景
- 开发环境:本地开发时管理OIDC凭证,避免硬编码或手动复制令牌。
- 多应用服务器:同一主机/容器集群内多个应用共享OIDC凭证,减少重复认证流程。
- 长时间运行服务:后台服务、定时任务等需持续使用OIDC凭证的场景,依赖自动刷新功能维持服务连续性。
- CI/CD流水线:在构建或部署阶段临时注入OIDC凭证,完成需认证的资源访问(如拉取私有镜像、调用API)。
使用方法
基本运行
启动容器并持久化存储凭证数据(推荐挂载宿主机目录以保留配置和凭证):
bashdocker run -d \ --name oidc-agent \ -v /host/path/oidc-agent-data:/var/lib/oidc-agent \ # 持久化凭证数据 -v /host/path/oidc-agent-config:/root/.oidc-agent \ # 持久化配置文件 --restart unless-stopped \ oidc-agent:latest
进入容器操作
通过docker exec进入容器,使用oidc-agent命令管理凭证:
bash# 进入容器 docker exec -it oidc-agent bash # 添加OIDC提供商凭证(示例:添加名为"my-provider"的凭证) oidc-add my-provider --issuer [***] # 获取凭证(供其他应用使用) oidc-token my-provider
跨容器共享凭证
其他容器可通过挂载/host/path/oidc-agent-config目录(包含Unix套接字)访问凭证:
bash# 示例:启动应用容器并共享oidc-agent凭证 docker run -d \ --name my-app \ -v /host/path/oidc-agent-config:/root/.oidc-agent \ # 共享套接字目录 my-app-image:latest
配置参数
环境变量
| 变量名 | 描述 | 默认值 |
|---|---|---|
OIDC_AGENT_LOG_LEVEL | 日志级别,可选值:debug、info、warn、error | info |
OIDC_AGENT_STORAGE_PATH | 凭证数据存储路径(容器内) | /var/lib/oidc-agent |
OIDC_AGENT_SOCKET_PATH | Unix域套接字路径(用于跨应用通信) | /root/.oidc-agent/agent.sock |
OIDC_AGENT_ENCRYPT_PASSWORD | 凭证加密密码(建议通过环境变量或外部文件传入,避免硬编码) | 无(首次运行时需手动输入) |
数据卷挂载
| 宿主机路径 | 容器内路径 | 用途 |
|---|---|---|
/host/path/oidc-agent-data | /var/lib/oidc-agent | 持久化存储加密后的凭证数据 |
/host/path/oidc-agent-config | /root/.oidc-agent | 持久化配置文件及Unix域套接字(共享用) |
示例配置
docker-compose.yml
yamlversion: '3.8' services: oidc-agent: image: oidc-agent:latest container_name: oidc-agent volumes: - ./oidc-agent-data:/var/lib/oidc-agent - ./oidc-agent-config:/root/.oidc-agent environment: - OIDC_AGENT_LOG_LEVEL=info - OIDC_AGENT_ENCRYPT_PASSWORD=${OIDC_ENCRYPT_PASSWORD} # 从环境变量注入加密密码 restart: unless-stopped app: image: my-app:latest volumes: - ./oidc-agent-config:/root/.oidc-agent # 共享凭证套接字 depends_on: - oidc-agent
注意事项
- 数据持久化:必须挂载数据卷(
/var/lib/oidc-agent和/root/.oidc-agent),否则容器重启后凭证和配置将丢失。 - 加密密码安全:
OIDC_AGENT_ENCRYPT_PASSWORD建议通过容器编排工具的secret管理功能(如Docker Swarm Secrets、Kubernetes Secrets)注入,避免明文暴露。 - 网络隔离:限制容器网络访问,仅允许信任的应用容器挂载套接字目录,防止未授权访问凭证。
- 版本更新:定期更新镜像至最新版本,以获取安全补丁和功能优化。
datadog/agent
datadog
新Datadog Agent的Docker容器,用于运行该代理以收集、处理并发送监控数据至Datadog平台。
172 次收藏10亿+ 次下载
11 天前更新
portainer/agent
portainer
Portainer是一款高效的容器管理平台,您可将Kubernetes容器编排平台、Docker及Podman容器引擎等主流容器环境便捷连接至该平台,实现对各类容器环境的集中化管理、可视化监控与高效运维操作,有效简化复杂容器架构的管理流程,提升容器部署、维护的效率与安全性。
290 次收藏10亿+ 次下载
17 天前更新
docker/ucp-agent
Docker 官方工具与组件镜像
暂无描述
13 次收藏5亿+ 次下载
5 年前更新
grafana/agent
grafana
暂无描述
25 次收藏1亿+ 次下载
11 天前更新
mirantis/ucp-agent
mirantis
暂无描述
1亿+ 次下载
3 个月前更新
mirantis/ucp-agent-win
mirantis
暂无描述
1亿+ 次下载
3 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"