本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
storage-secrets Docker 镜像下载 - 轩辕镜像
storage-secrets 镜像详细信息和使用指南
storage-secrets 镜像标签列表和版本信息
storage-secrets 镜像拉取命令和加速下载
storage-secrets 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
rancher/storage-secrets
storage-secrets 镜像详细信息
storage-secrets 镜像标签列表
storage-secrets 镜像使用说明
storage-secrets 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
用于Rancher密钥功能的卷驱动,支持密钥的存储与访问管理。
0 次下载activerancher镜像
storage-secrets 镜像详细说明
storage-secrets 使用指南
storage-secrets 配置说明
storage-secrets 官方文档
Rancher Secrets 卷驱动镜像文档
一、镜像概述和主要用途
概述
本镜像为 Docker 卷驱动(Volume Driver),专为 Rancher 平台的 Secrets 功能设计,用于在容器中安全挂载和访问 Rancher 管理的敏感信息(如密码、API 密钥、证书等)。通过该驱动,容器可通过 Docker 卷的方式透明地获取 Rancher Secrets 中存储的密钥,无需直接暴露密钥内容到镜像或容器配置中。
主要用途
- 实现 Rancher Secrets 与 Docker 卷的集成,将 Rancher 管理的密钥安全传递至容器内部
- 提供密钥的隔离和权限控制,避免敏感信息通过环境变量、镜像层等不安全方式暴露
- 简化容器对密钥的访问流程,统一通过卷挂载方式管理密钥生命周期
二、核心功能和特性
核心功能
-
Rancher Secrets 原生集成
与 Rancher Secrets 功能深度集成,支持直接引用 Rancher 中创建的 Secrets 资源,无需额外配置密钥同步机制。 -
安全挂载控制
- 支持以只读(read-only)方式挂载密钥,防止容器内意外修改
- 可配置密钥文件的权限(如
0400,仅容器内 root 用户可读),符合最小权限原则
-
动态更新支持
当 Rancher Secrets 中的密钥内容更新后,驱动可自动同步最新密钥至已挂载的卷,容器无需重启即可访问更新后的密钥(需驱动支持动态刷新机制)。 -
多容器共享
同一密钥卷可被多个容器挂载,实现密钥在多实例应用中的共享,同时保持权限隔离。
三、使用场景和适用范围
典型使用场景
- 容器敏感信息注入:需在容器中使用数据库密码、API 密钥、OAuth 令牌等敏感信息的场景(如数据库客户端、API 服务端)
- 密钥动态更新需求:密钥需定期轮换(如每月更新密码),且应用需实时获取最新密钥的场景
- Rancher 平台标准化部署:基于 Rancher 进行应用编排,需统一管理密钥生命周期的场景
适用范围
- 环境要求:仅适用于 Rancher 管理的容器平台(支持 Rancher v2.x 及以上版本)
- Docker 兼容性:需 Docker 17.06+ 或 containerd 1.2+(支持卷驱动插件机制)
- 应用类型:无状态/有状态应用均可,尤其适合对密钥安全性要求高的业务(如金融、支付、企业内部系统)
四、使用方法和配置说明
前提条件
- 已部署 Rancher 平台(v2.x+),并在集群中启用 Secrets 功能
- 节点已安装 Docker/containerd,且支持卷驱动插件
- 已在 Rancher 中创建目标 Secrets(如
db-password、api-token)
1. 安装卷驱动
通常,Rancher 平台会自动部署该驱动(若未部署,可通过 Rancher 应用商店或手动安装驱动插件)。验证驱动是否安装:
docker info | grep "Volume Drivers" # 应包含 "rancher-secrets" 驱动
2. 创建密钥卷
使用 docker volume create 命令创建关联 Rancher Secrets 的卷,需指定驱动为 rancher-secrets,并通过 driver_opts 配置 Secrets 名称、挂载路径等参数。
命令示例:
docker volume create \ --driver rancher-secrets \ --opt secrets=db-password,api-token # 逗号分隔多个 Rancher Secrets 名称 \ --opt file-mode=0400 \ # 密钥文件权限(默认 0400,仅 root 可读) \ --opt dir-mode=0700 \ # 挂载目录权限(默认 0700) \ my-secret-volume # 卷名称
参数说明:
| 参数键 | 类型 | 描述 | 默认值 |
|---|---|---|---|
secrets | string | Rancher Secrets 名称(逗号分隔多个) | 无(必填) |
file-mode | octal | 密钥文件权限(如 0400、0600) | 0400 |
dir-mode | octal | 挂载目录权限(如 0700、0750) | 0700 |
mount-path | string | 容器内挂载路径(通过 docker run -v 覆盖) | /secrets |
3. 在容器中挂载密钥卷
创建容器时,通过 -v 参数挂载已创建的密钥卷,容器即可在指定路径访问密钥文件(文件名与 Rancher Secrets 名称一致)。
Docker Run 示例:
docker run -d \ --name my-app \ -v my-secret-volume:/app/secrets:ro # 挂载卷至 /app/secrets,只读模式 \ my-app-image # 业务镜像
容器内密钥访问:
挂载后,容器内 /app/secrets 目录下会生成与 Rancher Secrets 同名的文件,内容为密钥值:
# 容器内执行 cat /app/secrets/db-password # 输出 Rancher Secrets "db-password" 的值 cat /app/secrets/api-token # 输出 Rancher Secrets "api-token" 的值
4. Docker Compose 配置示例
在 docker-compose.yml 中定义使用该驱动的卷,并挂载至服务:
version: '3.8' volumes: my-secret-volume: driver: rancher-secrets driver_opts: secrets: "db-password,api-token" # 关联的 Rancher Secrets 名称 file-mode: "0400" dir-mode: "0700" services: app: image: my-app-image volumes: - my-secret-volume:/app/secrets:ro # 只读挂载密钥卷 restart: always
五、注意事项
- 权限控制:密钥文件默认权限为
0400(仅 root 可读),建议容器内以非 root 用户运行时,通过file-mode调整权限(如0440),并确保用户组权限匹配。 - 动态更新:若 Rancher Secrets 内容更新,驱动会自动同步至卷(同步延迟取决于 Rancher 配置,通常 < 30s),容器需通过信号(如
SIGHUP)或轮询机制重新读取文件以获取最新值。 - 安全性:密钥卷仅存储在内存或节点本地临时存储(非持久化),且通过 Rancher 加密传输,避免持久化敏感信息。
- 兼容性:不支持非 Rancher 环境(如独立 Docker 主机),需确保节点已加入 Rancher 集群并正常通信。
docker/ecs-secrets-sidecar
by Docker, Inc.
认证
Docker Compose“Cloud Integrations”镜像原用于ECS和ACI集成,2023年11月已退役,目前主要优先处理关键安全修复,ECS用户可考虑使用compose-ecs。
110M+ pulls
上次更新:1 年前
rancher/storage-secrets-bridge-v2
by Rancher by SUSE
认证
暂无描述
10K+ pulls
上次更新:7 年前
rancher/storage-nfs
by Rancher by SUSE
认证
暂无描述
41M+ pulls
上次更新:7 年前
bitnami/sealed-secrets-controller
by VMware
认证
Bitnami Sealed Secrets容器镜像,用于在Kubernetes环境中加密Secrets,使其可安全存储于版本控制系统并在集群内解密使用,提供便捷部署与安全保障。
111B+ pulls
上次更新:1 个月前
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429