trendmicrocloudone/rbac-proxy Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
trendmicrocloudone/rbac-proxytrendmicrocloudone
用于Cloud One容器安全的RBAC代理容器,提供基于角色的访问控制代理服务,确保容器环境中的安全访问管理与权限控制。
下载次数: 0状态:社区镜像维护者:trendmicrocloudone仓库类型:镜像最近更新:4 个月前
RBAC Proxy 容器文档
镜像概述
RBAC Proxy容器是专为Cloud One容器安全设计的访问控制代理组件,提供基于角色的访问控制(RBAC)代理服务。该容器通过与Cloud One容器安全平台集成,实现对容器化环境中服务访问的细粒度权限控制,确保只有授权角色能访问特定容器资源,增强容器环境的整体安全性。
核心功能与特性
基于角色的访问控制(RBAC)
- 支持预定义角色与权限映射,实现细粒度访问控制
- 动态权限验证,根据用户角色实时判断访问权限
与Cloud One容器安全深度集成
- 无缝对接Cloud One容器安全平台,同步安全策略与角色配置
- 支持从Cloud One控制台管理RBAC策略,实现集中化权限管控
安全访问代理
- 作为中间层代理访问请求,验证权限后转发至目标服务
- 拦截未授权访问请求,防止越权操作
访问日志与审计
- 记录所有访问请求详情(包括访问主体、请求资源、权限验证结果)
- 支持日志导出,满足合规审计需求
轻量级设计
- 容器镜像体积小,资源占用低,适合在各类容器环境中部署
- 支持水平扩展,可根据访问量动态调整代理实例数量
使用场景
容器化应用访问控制
适用于Kubernetes、Docker Swarm等容器编排环境,对微服务、数据库等容器化服务进行访问权限控制。
Cloud One安全平台用户
已部署Cloud One容器安全的用户,需通过RBAC机制管理容器服务访问权限,实现安全策略落地。
多团队协作环境
在多团队共享的容器集群中,通过角色划分实现团队间资源隔离,如开发团队仅能访问测试环境服务,运维团队可访问全环境资源。
合规性要求场景
需满足行业合规标准(如PCI-DSS、HIPAA)的容器环境,通过访问日志与权限控制满足审计要求。
使用方法与配置说明
前提条件
- 已部署Cloud One容器安全平台并获取有效API密钥
- 容器运行环境支持Docker 19.03+或兼容的容器运行时
- 网络环境允许代理容器与Cloud One平台API端点通信(需开放443端口)
快速启动(Docker Run)
bashdocker run -d \ --name rbac-proxy \ -p 8080:8080 \ -e CLOUD_ONE_API_KEY="your-cloud-one-api-key" \ -e RBAC_POLICY_SYNC_INTERVAL="300" \ -e LOG_LEVEL="info" \ -v /host/path/to/rbac/policies:/etc/rbac/policies \ trendmicro/rbac-proxy:latest
环境变量配置
| 环境变量 | 描述 | 是否必需 | 默认值 |
|---|---|---|---|
| CLOUD_ONE_API_KEY | Cloud One平台API密钥,用于身份验证与策略同步 | 是 | 无 |
| RBAC_POLICY_SYNC_INTERVAL | 与Cloud One平台同步RBAC策略的时间间隔(秒) | 否 | 300 |
| LOG_LEVEL | 日志级别,可选值:debug、info、warn、error | 否 | info |
| PROXY_LISTEN_PORT | 代理服务监听端口 | 否 | 8080 |
| CLOUD_ONE_REGION | Cloud One平台区域,如us-1、eu-1、ap-1 | 否 | us-1 |
| RBAC_POLICY_FILE | 本地RBAC策略文件路径(优先级低于Cloud One同步策略) | 否 | /etc/rbac/policies/default.yaml |
RBAC策略文件格式
本地策略文件(如default.yaml)示例:
yamlroles: - name: "service-admin" permissions: ["service:create", "service:delete", "service:update", "service:read"] - name: "service-viewer" permissions: ["service:read"] bindings: - role: "service-admin" subjects: - "user:***" - "group:security-team" - role: "service-viewer" subjects: - "user:***" - "group:dev-team"
与Cloud One容器安全集成流程
- 在Cloud One控制台创建API密钥,授予"RBAC策略管理"权限
- 部署RBAC Proxy容器时配置
CLOUD_ONE_API_KEY与CLOUD_ONE_REGION环境变量 - 容器启动后自动连接Cloud One平台,同步RBAC策略至本地
- 通过Cloud One控制台修改RBAC策略后,代理容器将在
RBAC_POLICY_SYNC_INTERVAL时间内自动更新策略
访问验证
部署完成后,可通过向代理服务发送请求验证权限控制:
bash# 示例:访问受保护的目标服务(需替换为实际代理地址与目标服务路径) curl [***] \ -H "Authorization: Bearer {user-jwt-token}"
- 授权请求:返回目标服务响应(HTTP 200)
- 未授权请求:返回权限拒绝响应(HTTP 403)并记录访问日志
bitnami/kube-rbac-proxy
bitnami
Bitnami安全镜像,用于在Kubernetes环境中部署kube-rbac-proxy,实现API请求的RBAC权限检查与安全代理。
4 次收藏100万+ 次下载
1 个月前更新
haproxytech/haproxy-debian
haproxytech
HAProxy社区版Docker Debian镜像,提供高性能的开源负载均衡和应用交付控制功能,支持TCP/HTTP代理、SSL终止、健康检查等特性,适用于构建可靠的流量管理解决方案。
9 次收藏1000万+ 次下载
29 天前更新
haproxytech/haproxy-alpine
haproxytech
HAProxy社区版Docker镜像,基于Alpine Linux构建,提供高性能负载均衡与反向代理功能,适用于构建轻量级、高可用的Web服务或应用集群。
18 次收藏500万+ 次下载
29 天前更新
haproxytech/haproxy-ubuntu
haproxytech
HAProxy社区版Docker Ubuntu镜像
6 次收藏100万+ 次下载
29 天前更新
rancher/kube-rbac-proxy
rancher
暂无描述
1万+ 次下载
1 年前更新
haproxytech/haproxy-qns
haproxytech
该Docker镜像包含用于HAProxy的QUIC互操作性测试文件
2 次收藏10万+ 次下载
24 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"