Şəbəkə, audit və hava-boşluqlu
Bu səhifə AiHummer-in harada çatıla və çata biləcəyini, nəyi qeyd etdiyini və nədən qurulduğunu idarə edən nəzarətləri əhatə edir: admin IP icazə siyahısı, hava-boşluqlu rejim, audit logu və təchizat zənciri mövqeyi.
IP icazə siyahısı (admin IP qapılama)
Admin səthini IP icazə siyahısı ilə tanınan şəbəkələrlə məhdudlaşdıra
bilərsiniz, idarəetmə /v1/admin/security/ip-allowlist ünvanındadır.
Konfiqurasiya edildikdə admin girişi mənbə IP üzrə qapılanır, beləliklə admin API
və UI yalnız etibar etdiyiniz ünvanlardan gələn sorğulara cavab verir.
[!TIP] IP icazə siyahısını korporativ SSO və əhatəli API açarları ilə birləşdirin: şəbəkə qapılaması haradan olduğunu məhdudlaşdırır, SSO kimi məhdudlaşdırır, əhatələr isə nəyi məhdudlaşdırır.
Hava-boşluqlu rejim
Suveren və ya təcrid olunmuş yerləşdirmələr üçün model-idarəli açıq çıxışı
bloklamaq məqsədilə AIHUMMER_AIRGAPPED=1 təyin edin. Bu rejimdə agentin
alətləri modelin adından açıq internetə çıxa bilməz, bu da bütöv bir sınıf
sızdırma və SSRF riskini aradan qaldırır.
# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1
[!WARNING] Hava-boşluqlu rejim açıq çıxışdan asılı olan alətləri (məsələn, açıq-veb götürmələri) söndürür. Yerləşdirmənin xarici çağırışlar olmadan tam funksional qalması üçün onu öz-hostlu yan-vaqonlar (sidecar) və yerli modellərlə cütləşdirin. Tam hava-boşluğundan az daha incə nəzarət üçün Mühafizələr bölməsində təsvir olunan çıxış icazə siyahılarından istifadə edin.
Audit logu
Admin dəyişiklikləri saxlama müddəti və səhifələmə ilə audit logunda qeyd
edilir, oxuna bilər: /v1/admin/audit. Saxlama müddəti
AIHUMMER_AUDIT_RETENTION_DAYS ilə idarə olunur, beləliklə izi uyğunluq
siyasətinizin tələb etdiyi qədər saxlaya və köhnə qeydlərin müddətinin keçməsinə
icazə verə bilərsiniz.
# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365
Audit izi RBAC və SSO ilə təbii olaraq cütləşir: SSO və IP icazə siyahısı kimin hərəkət edə biləcəyini, əhatəli açarlar nə edə biləcəklərini, audit logu isə nə etdiklərini qərarlaşdırır.
Təchizat zənciri və runtime mövqeyi
AiHummer-in runtime-ı qəsdən kiçik və yoxlanıla biləndir:
| Xüsusiyyət | Mövqe |
|---|---|
| Gateway | Tək Go binar faylı (idarəetmə müstəvisi + növbə mühərriki). |
| Birbaşa asılılıqlar | Təxminən 25 birbaşa Go modulu — kiçik, audit olunabilən səth. |
| Paketləmə | Host-doğma: buraxılış tarball + systemd, Docker yoxdur. |
| Yan-vaqonlar (sidecar) | URL ilə çatılan ayrıca HTTP xidmətləri, yalnız lazım olduqda quraşdırılır. |
[!NOTE] Host-doğma paketləmə o deməkdir ki, tətbiqə əlavə olaraq sərtləşdirilməli və ya yamaqlanmalı konteyner runtime-ı yoxdur —
/home/.aihummer-dən systemd altında bir Go binar faylı işlədirsiniz. Bu, məhsulun necə göndərildiyinin yoxlanıla bilən xüsusiyyətidir, mütləq təhlükəsizlik haqqında iddia deyil.
Sonra hara
- Korporativ SSO — kimin içəri buraxıldığı.
- RBAC və əhatəli API açarları — içəri girdikdən sonra nə edə biləcəkləri.
- Mühafizələr və prompt inyeksiyasına qarşı müdafiə — xaricə çatan alətlər üçün çıxış icazə siyahıları və SSRF mühafizəsi.