热门搜索:
pcfseceng/credhub
pcfseceng
Credhub Server是一个安全的凭据管理服务器,用于存储、管理和检索敏感凭据(如密码、证书、API密钥),提供加密存储、版本控制和访问控制功能,适用于云原生环境和CI/CD流水线中的敏感信息管理。
下载次数: 0状态:社区镜像维护者:pcfseceng仓库类型:镜像最近更新:1 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Credhub Server 镜像文档
概述
Credhub Server 是一个专为云原生环境设计的安全凭据管理服务器,旨在集中存储、管理和检索各类敏感凭据(如密码、证书、API密钥、SSH密钥等)。它通过加密存储、细粒度访问控制和凭据版本跟踪,帮助用户在分布式系统中安全地管理敏感信息,避免硬编码或明文存储带来的安全风险。
核心功能与特性
- 加密存储:所有凭据通过AES-256或RSA加密后存储,确保数据在静态和传输过程中的安全性
- 凭据版本控制:自动跟踪凭据的创建、更新历史,支持回滚到历史版本
- 细粒度访问控制:基于角色的访问控制(RBAC)和权限策略,限制凭据的读写权限
- REST API支持:提供完整的RESTful API,便于集成到自动化流程和应用系统中
- 高可用性:支持集群部署,通过数据库复制实现数据冗余和故障转移
- 审计日志:记录所有凭据操作(创建、读取、更新、删除),满足合规性要求
使用场景
- Cloud Foundry 部署:作为Cloud Foundry生态系统的核心组件,管理平台和应用的敏感配置
- Kubernetes 集群:与Kubernetes集成,为Pod和控制器提供安全的凭据注入
- CI/CD 流水线:在自动化部署流程中动态获取敏感凭据(如数据库密码、API令牌)
- 多环境凭据管理:为开发、测试、生产等不同环境提供隔离的凭据存储
- 微服务架构:集中管理跨微服务调用所需的认证凭据(如服务间API密钥)
使用方法
基本启动命令
bashdocker run -d \ --name credhub-server \ -p 8844:8844 \ -e CREDHUB_DB_TYPE=postgres \ -e CREDHUB_DB_HOST=postgres-host \ -e CREDHUB_DB_PORT=5432 \ -e CREDHUB_DB_NAME=credhub \ -e CREDHUB_DB_USERNAME=credhub-user \ -e CREDHUB_DB_PASSWORD=secure-db-password \ -e CREDHUB_ENCRYPTION_KEY=your-encryption-key \ -v credhub-data:/var/lib/credhub \ pivotalcf/credhub
核心环境变量配置
| 环境变量 | 描述 | 默认值 |
|---|---|---|
CREDHUB_DB_TYPE | 后端数据库类型,支持postgres或mysql | postgres |
CREDHUB_DB_HOST | 数据库主机地址 | - |
CREDHUB_DB_PORT | 数据库端口 | 5432 (postgres) / 3306 (mysql) |
CREDHUB_DB_NAME | 数据库名称 | credhub |
CREDHUB_DB_USERNAME | 数据库访问用户名 | - |
CREDHUB_DB_PASSWORD | 数据库访问密码 | - |
CREDHUB_ENCRYPTION_KEY | 用于加密凭据的主密钥(建议使用32字节随机字符串) | - |
CREDHUB_SERVER_TLS | 是否启用TLS(true/false) | true |
CREDHUB_TLS_CERT | TLS证书路径(容器内路径) | /etc/credhub/tls/cert.pem |
CREDHUB_TLS_KEY | TLS私钥路径(容器内路径) | /etc/credhub/tls/key.pem |
持久化存储配置
Credhub Server 需要持久化存储以保存凭据数据和配置,建议通过Docker卷或绑定挂载实现:
bash# 创建持久化卷 docker volume create credhub-data # 启动容器时挂载卷 docker run -d \ --name credhub-server \ -v credhub-data:/var/lib/credhub \ # 存储凭据数据和元信息 -v /path/to/tls:/etc/credhub/tls \ # 挂载TLS证书(如启用TLS) ... # 其他环境变量 pivotalcf/credhub
集群部署注意事项
- 所有节点需使用相同的数据库实例(确保数据一致性)
- 共享
CREDHUB_ENCRYPTION_KEY以保证凭据解密兼容性 - 配置负载均衡器分发请求,并确保TLS证书在所有节点间同步
验证部署
部署完成后,可通过API验证服务可用性:
bash# 检查健康状态(需配置TLS或禁用TLS) curl -k https://<credhub-server-ip>:8844/health
成功响应示例:
json{"status":"UP"}
安全最佳实践
- 始终启用TLS,避免明文传输凭据
- 使用强加密密钥(建议256位以上),并定期轮换
- 限制数据库访问权限,仅允许Credhub Server连接
- 启用审计日志并定期审查操作记录
- 对敏感凭据设置过期时间,自动轮换
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull pcfseceng/credhub:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"