bastion Docker 镜像下载 - 轩辕镜像
bastion 镜像详细信息和使用指南
bastion 镜像标签列表和版本信息
bastion 镜像拉取命令和加速下载
bastion 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
bastion 镜像详细信息
bastion 镜像标签列表
bastion 镜像使用说明
bastion 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
bastion 镜像详细说明
bastion 使用指南
bastion 配置说明
bastion 官方文档
Bastion 堡垒主机镜像
概述
Bastion是一个轻量级Docker镜像,提供安全访问Kubernetes集群的堡垒主机解决方案。它通过集中化的访问控制和多因素认证机制,确保只有授权用户能够安全地访问Kubernetes资源,同时提供完整的审计跟踪能力。
核心功能和特性
- 多因素认证:支持SSH密钥、WebAuthn/FIDO2安全设备和TOTP一次性密码
- 临时凭证管理:自动生成和轮换临时访问凭证,减少长期凭证风险
- Kubernetes工具集成:内置kubectl、helm、kube-ps1等常用Kubernetes管理工具
- 会话管理:支持会话超时和自动登出,增强安全性
- 审计日志:记录所有用户操作,提供完整的审计跟踪
- Web界面:提供直观的Web管理界面,方便用户操作和管理员配置
- 轻量级设计:基于Alpine Linux构建,镜像体积小,资源占用低
使用场景
- 企业Kubernetes集群的集中化访问控制
- 需要严格安全合规要求的环境
- 多团队共享Kubernetes集群的场景
- 需要审计和跟踪Kubernetes操作的环境
- 希望实现最小权限原则和临时凭证访问的组织
快速开始
Docker Run 示例
bashdocker run -d \ --name bastion \ -p 2222:22 \ -p 8080:8080 \ -v /path/to/config:/etc/bastion \ -v /path/to/ssh-keys:/etc/ssh/keys \ -e KUBECONFIG=/etc/bastion/kubeconfig \ dblworks/bastion:latest
Docker Compose 示例
yamlversion: '3' services: bastion: image: dblworks/bastion:latest ports: - "2222:22" - "8080:8080" volumes: - ./config:/etc/bastion - ./ssh-keys:/etc/ssh/keys - ./audit-logs:/var/log/bastion/audit environment: - KUBECONFIG=/etc/bastion/kubeconfig - AUTH_METHODS=ssh,webauthn,totp - SESSION_TIMEOUT=3600 - TZ=UTC restart: unless-stopped
配置参数
环境变量
| 变量名 | 描述 | 默认值 |
|---|---|---|
AUTH_METHODS | 启用的认证方法,逗号分隔 (ssh,webauthn,totp) | ssh,totp |
SESSION_TIMEOUT | 会话超时时间(秒) | 3600 |
KUBECONFIG | Kubernetes配置文件路径 | /etc/bastion/kubeconfig |
AUDIT_LOG_PATH | 审计日志存储路径 | /var/log/bastion/audit.log |
WEB_PORT | Web界面端口 | 8080 |
SSH_PORT | SSH服务端口 | 22 |
TZ | 时区设置 | UTC |
配置文件
配置文件默认路径为 /etc/bastion/config.yaml,主要配置项包括:
yaml# 用户授权配置 users: - name: "john" ssh_keys: - "ssh-rsa AAAAB3NzaC1yc2EAAA..." webauthn_credentials: - "credential-id-1" allowed_clusters: - "production" - "staging" permissions: - "get pods" - "list deployments" # 集群配置 clusters: - name: "production" kubeconfig: "/etc/bastion/clusters/prod.yaml" - name: "staging" kubeconfig: "/etc/bastion/clusters/staging.yaml"
使用方法
SSH访问
bashssh -p 2222 ***
连接后,系统会提示进行多因素认证(如配置),成功后可直接使用kubectl等工具操作授权的Kubernetes集群。
Web界面访问
通过浏览器访问 [***],使用用户名和配置的认证方式登录。Web界面提供集群资源管理、会话管理、个人认证设置和审计日志查询等功能。
临时凭证获取
认证成功后,系统会自动生成临时Kubernetes凭证,可通过以下命令获取当前凭证信息:
bashbastion credentials show
安全最佳实践
- 使用多因素认证:推荐同时启用SSH密钥和WebAuthn/FIDO2设备认证
- 定期轮换密钥:设置合理的密钥轮换策略
- 限制会话超时:根据安全需求调整
SESSION_TIMEOUT,建议不超过8小时 - 启用审计日志:确保审计日志持久化存储,并定期审查
- 最小权限原则:为用户分配最小必要权限
- 定期更新镜像:保持镜像版本最新,获取安全更新
维护和更新
升级镜像
bashdocker pull dblworks/bastion:latest docker stop bastion docker rm bastion # 重新运行容器,使用之前的卷和配置
查看日志
bashdocker logs bastion # 查看审计日志 docker exec bastion tail -f /var/log/bastion/audit.log
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
"Docker加速体验非常流畅,大镜像也能快速完成下载。"
常见问题
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像加速服务
Windows/Mac
在 Docker Desktop 配置镜像加速
Docker Compose
Docker Compose 项目配置加速
K8s Containerd
Kubernetes 集群配置 Containerd
宝塔面板
在宝塔面板一键配置镜像加速
群晖
Synology 群晖 NAS 配置加速
飞牛
飞牛 fnOS 系统配置镜像加速
极空间
极空间 NAS 系统配置加速服务
爱快路由
爱快 iKuai 路由系统配置加速
绿联
绿联 NAS 系统配置镜像加速
威联通
QNAP 威联通 NAS 配置加速
Podman
Podman 容器引擎配置加速
Singularity/Apptainer
HPC 科学计算容器配置加速
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名加速
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429