本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
mirrored-brancz-kube-rbac-proxy Docker 镜像下载 - 轩辕镜像
mirrored-brancz-kube-rbac-proxy 镜像详细信息和使用指南
mirrored-brancz-kube-rbac-proxy 镜像标签列表和版本信息
mirrored-brancz-kube-rbac-proxy 镜像拉取命令和加速下载
mirrored-brancz-kube-rbac-proxy 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
rancher/mirrored-brancz-kube-rbac-proxy
mirrored-brancz-kube-rbac-proxy 镜像详细信息
mirrored-brancz-kube-rbac-proxy 镜像标签列表
mirrored-brancz-kube-rbac-proxy 镜像使用说明
mirrored-brancz-kube-rbac-proxy 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
quay.io/brancz/kube-rbac-proxy的镜像副本,用于在Kubernetes中基于RBAC进行API请求代理与权限验证。
0 次下载activerancher镜像
mirrored-brancz-kube-rbac-proxy 镜像详细说明
mirrored-brancz-kube-rbac-proxy 使用指南
mirrored-brancz-kube-rbac-proxy 配置说明
mirrored-brancz-kube-rbac-proxy 官方文档
kube-rbac-proxy 镜像文档
镜像概述
本镜像为 quay.io/brancz/kube-rbac-proxy 的镜像,是一个轻量级代理工具,用于在 Kubernetes 集群中为 HTTP 服务提供基于 RBAC(基于角色的访问控制)的认证与授权能力。其核心功能是作为中间层,拦截对上游 HTTP 服务的请求,通过 Kubernetes API Server 验证请求者的 RBAC 权限,仅允许授权用户/服务访问上游服务。
核心功能和特性
核心功能
- RBAC 认证与授权:基于 Kubernetes RBAC 策略验证请求者身份及权限,确保仅授权实体可访问上游服务。
- 请求代理:将经过认证的请求转发至指定的上游 HTTP 服务,并将上游响应返回给请求者。
- TLS 加密:支持通过 TLS 加密代理通信,保障数据传输安全。
- 灵活配置:支持通过命令行参数或配置文件自定义监听地址、上游服务地址、TLS 证书等关键参数。
主要特性
- 轻量级设计,资源占用低,适合容器化部署。
- 与 Kubernetes 原生 RBAC 体系深度集成,无需额外权限管理系统。
- 支持审计日志,记录请求认证过程及结果,便于问题排查。
- 兼容标准 HTTP 服务,无侵入式接入现有服务。
使用场景和适用范围
适用场景
- 监控组件访问控制:为 Prometheus Exporter、Metrics Server 等监控服务提供 RBAC 权限控制,确保仅授权的监控系统可采集指标。
- 自定义 API 服务:为集群内自定义 HTTP API 服务(如 Operator 扩展 API、业务微服务)提供统一的 RBAC 入口。
- 敏感服务保护:对包含敏感数据的 HTTP 服务(如配置中心、密钥管理服务)进行访问限制,防止未授权访问。
适用范围
- Kubernetes 集群环境中的容器化 HTTP 服务。
- 需要通过 Kubernetes RBAC 策略精细化控制访问权限的场景。
- 期望无侵入式集成权限控制的现有 HTTP 服务。
使用方法和配置说明
基本使用方式
Docker 运行示例
docker run -d \ --name kube-rbac-proxy \ -p 8080:8080 \ -v /path/to/tls:/tls \ quay.io/brancz/kube-rbac-proxy:latest \ --upstream=[***] \ # 上游 HTTP 服务地址 --listen-address=0.0.0.0:8080 \ # 代理监听地址和端口 --tls-cert-file=/tls/tls.crt \ # TLS 证书文件路径 --tls-key-file=/tls/tls.key \ # TLS 私钥文件路径 --authorization-header=authorization \ # 携带认证信息的请求头 --allowed-group=system:masters # 允许访问的 RBAC 组(示例)
配置参数详解
命令行参数(核心参数)
| 参数名 | 类型 | 描述 |
|---|---|---|
--upstream | 字符串 | 上游 HTTP 服务地址(必填),格式为 http://<host>:<port> 或 https://<host>:<port>。 |
--listen-address | 字符串 | 代理服务监听地址和端口(默认 0.0.0.0:8080)。 |
--tls-cert-file | 字符串 | TLS 证书文件路径(启用 TLS 时必填)。 |
--tls-key-file | 字符串 | TLS 私钥文件路径(启用 TLS 时必填)。 |
--tls-ca-file | 字符串 | 用于验证客户端证书的 CA 证书文件路径(可选,启用双向 TLS 时使用)。 |
--authorization-header | 字符串 | 携带认证令牌的 HTTP 请求头(默认 authorization),通常为 Bearer 令牌。 |
--allowed-group | 字符串 | 允许访问的 Kubernetes RBAC 组(可重复指定,支持多个组)。 |
--allowed-user | 字符串 | 允许访问的 Kubernetes RBAC 用户(可重复指定,支持多个用户)。 |
--logtostderr | 布尔值 | 是否将日志输出到标准错误流(默认 true)。 |
--v | 整数 | 日志 verbosity 级别(默认 0,值越高日志越详细)。 |
环境变量
该镜像主要通过命令行参数配置,无强制依赖的环境变量。若需动态注入配置(如 TLS 证书路径),可通过环境变量传递参数值,例如:
docker run -e UPSTREAM=[***] quay.io/brancz/kube-rbac-proxy:latest --upstream=$UPSTREAM
Kubernetes 部署示例(容器化场景)
在 Kubernetes 中,通常以 Deployment 或 DaemonSet 形式部署,以下为 Deployment 配置示例:
apiVersion: apps/v1 kind: Deployment metadata: name: kube-rbac-proxy spec: replicas: 1 selector: matchLabels: app: kube-rbac-proxy template: metadata: labels: app: kube-rbac-proxy spec: containers: - name: kube-rbac-proxy image: quay.io/brancz/kube-rbac-proxy:latest args: - --upstream=[***] # 上游服务(如 Prometheus Exporter) - --listen-address=0.0.0.0:8443 - --tls-cert-file=/etc/tls/tls.crt - --tls-key-file=/etc/tls/tls.key - --allowed-group=monitoring:viewers ports: - containerPort: 8443 volumeMounts: - name: tls-secret mountPath: /etc/tls readOnly: true volumes: - name: tls-secret secret: secretName: kube-rbac-proxy-tls # 包含 TLS 证书的 Secret
注意事项
- 依赖 Kubernetes 环境:该工具的核心功能依赖 Kubernetes API Server 进行 RBAC 权限验证,因此需在 Kubernetes 集群内运行,或确保容器可访问集群的 API Server。
- TLS 配置:生产环境中必须启用 TLS 加密,避免明文传输认证令牌,可通过 Kubernetes Secret 挂载证书文件。
- RBAC 策略配合:需提前在 Kubernetes 中配置对应的 Role/ClusterRole 及 RoleBinding/ClusterRoleBinding,确保代理服务的
allowed-group/allowed-user与 RBAC 策略匹配。 - 上游服务健康检查:建议为上游服务配置健康检查,避免代理转发至不可用的服务。
bitnami/kube-rbac-proxy
by VMware
认证
Bitnami安全镜像,用于在Kubernetes环境中部署kube-rbac-proxy,实现API请求的RBAC权限检查与安全代理。
41M+ pulls
上次更新:2 个月前
rancher/mirrored-kube-rbac-proxy
by Rancher by SUSE
认证
暂无描述
100K+ pulls
上次更新:1 年前
rancher/kube-rbac-proxy
by Rancher by SUSE
认证
暂无描述
10K+ pulls
上次更新:1 年前
rancher/mirrored-istio-proxyv2
by Rancher by SUSE
认证
暂无描述
110M+ pulls
上次更新:3 个月前
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429