permitio/pdp-v2 Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
permitio/pdp-v2permitio
Permit.io PDP(策略决策点)是一个轻量级服务,用于评估访问控制策略并实时做出授权决策,支持多种策略语言和集成方式,适用于微服务、API和云原生环境的权限管理。
下载次数: 0状态:社区镜像维护者:permitio仓库类型:镜像最近更新:3 个月前
Permit.io PDP 镜像文档
概述
Permit.io PDP(Policy Decision Point,策略决策点)是Permit.io权限管理平台的核心组件,作为独立部署的轻量级服务,负责接收授权请求、评估预定义的访问控制策略,并返回决策结果(允许/拒绝)。该镜像封装了PDP的运行环境,支持快速部署和集成,适用于各类需要细粒度权限控制的应用场景。
核心功能与特性
- 实时策略评估:基于传入的主体(Subject)、资源(Resource)和操作(Action)信息,实时评估策略并返回决策结果
- 多策略语言支持:兼容OPA Rego、JSON Schema等多种策略定义语言,满足不同场景的策略表达需求
- 高性能与低延迟:优化的决策引擎设计,支持高并发授权请求,平均响应时间毫秒级
- 动态策略更新:与Permit.io云端平台或本地策略管理系统集成,支持策略的动态加载与更新,无需重启服务
- 轻量级部署:容器化设计,资源占用低,可在边缘节点、Kubernetes集群或传统服务器环境中运行
- 完整审计日志:记录所有决策过程和结果,支持合规性审计和问题排查
使用场景
- 微服务架构权限控制:在分布式微服务中作为集中式授权服务,统一处理跨服务的访问请求
- API访问控制:集成到API网关(如Kong、Nginx)或服务网格(如Istio)中,控制API端点的访问权限
- 云原生应用授权:为Kubernetes集群内的应用、Pod或资源提供基于角色的访问控制(RBAC)增强
- SaaS应用多租户权限:支持租户隔离的策略定义,实现多租户环境下的细粒度权限管理
- 零信任架构:作为零信任模型中的策略执行点,验证每个访问请求的身份与权限
使用方法
前提条件
- Docker引擎 19.03+ 或 Kubernetes环境
- 网络连接(用于拉取镜像和策略更新,离线环境需提前配置本地策略)
- Permit.io账户(可选,用于集成云端策略管理)
快速启动(Docker Run)
bashdocker run -d \ --name permit-pdp \ -p 7766:7766 \ -e PERMIT_API_KEY="your-api-key" \ -e PERMIT_POLICY_REPO="[***]" \ permitio/pdp:latest
参数说明
-p 7766:7766:映射PDP服务端口(默认HTTP API端口为7766)PERMIT_API_KEY:(可选)Permit.io平台API密钥,用于从云端同步策略PERMIT_POLICY_REPO:(可选)本地或远程策略仓库地址,用于加载静态策略
环境变量配置
| 环境变量名 | 描述 | 默认值 |
|---|---|---|
PERMIT_API_KEY | Permit.io平台API密钥,用于与云端策略管理系统通信 | 无 |
PERMIT_POLICY_REPO | 策略仓库URL(支持Git、HTTP或本地文件路径) | 无 |
PERMIT_LOG_LEVEL | 日志级别(debug/info/warn/error) | info |
PERMIT_LISTEN_ADDRESS | 服务监听地址 | 0.0.0.0 |
PERMIT_LISTEN_PORT | 服务监听端口 | 7766 |
PERMIT_CACHE_TTL | 策略评估结果缓存超时时间(秒),0表示禁用缓存 | 30 |
PERMIT_OFFLINE_MODE | 是否启用离线模式(true/false),离线模式下仅使用本地策略 | false |
Docker Compose 示例
yamlversion: '3.8' services: permit-pdp: image: permitio/pdp:latest container_name: permit-pdp ports: - "7766:7766" environment: - PERMIT_API_KEY=your-api-key - PERMIT_LOG_LEVEL=info - PERMIT_CACHE_TTL=60 volumes: - ./local-policies:/policies # 挂载本地策略目录(离线模式使用) restart: unless-stopped
策略评估API使用示例
PDP启动后,可通过HTTP API提交授权请求:
bashcurl -X POST http://localhost:7766/v1/allowed \ -H "Content-Type: application/json" \ -d '{ "subject": { "id": "user-123", "roles": ["editor"] }, "resource": { "type": "document", "id": "doc-456" }, "action": "edit" }'
响应示例(允许访问):
json{ "allowed": true }
注意事项
- 生产环境中建议启用HTTPS,可通过反向代理(如Nginx)配置TLS终结
- 高并发场景下,可水平扩展PDP实例并配置负载均衡
- 策略仓库变更后,PDP会自动拉取更新(默认每30秒检查一次,可通过
PERMIT_POLICY_POLL_INTERVAL环境变量调整) - 离线模式下,需确保本地策略目录包含完整的策略定义文件
permitio/pdp
permitio
Permit.io策略决策点(PDP)的旧版兼容性版本,用于支持需要旧版本PDP的环境,建议优先使用permitio/pdp-v2。
100万+ 次下载
1 年前更新
permitio/opal-client
permitio
OPAL是Open Policy Agent (OPA)的管理层,可实时检测策略与策略数据的变更并向代理推送实时更新。
3 次收藏1000万+ 次下载
1 个月前更新
permitio/opal-server
permitio
OPAL是Open Policy Agent (OPA)的管理层,能实时检测策略和策略数据的变化,并向代理推送实时更新。
1 次收藏10万+ 次下载
1 个月前更新
permitio/opal-client-standalone
permitio
OPAL Client独立版Docker镜像,作为Open Policy Agent (OPA)的管理层,实时检测策略和策略数据变化并向OPA代理推送实时更新,需用户预先部署OPA。
1万+ 次下载
1 个月前更新
permitio/cedar-agent
permitio
暂无描述
1 次收藏1万+ 次下载
5 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"