Ցանց, աուդիտ և օդանջատ
Այս էջն ընդգրկում է վերահսկողություններ, որ կառավարում են, թե որտեղ AiHummer-ը կարող է հասանելի լինել և հասնել, ինչ է գրանցում և ինչից է կառուցված. ադմին IP թույլատրման ցանկը, օդանջատ ռեժիմը, աուդիտի մատյանը և մատակարարման-շղթայի դիրքավորումը։
IP թույլատրման ցանկ (ադմին IP փակագծում)
Դուք կարող եք սահմանափակել ադմին մակերեսը հայտնի ցանցերով՝ IP թույլատրման
ցանկով, որը կառավարվում է /v1/admin/security/ip-allowlist-ում։ Կարգավորելիս՝
ադմին հասանելիությունը փակագծվում է աղբյուրի IP-ով, այնպես որ ադմին API-ն և UI-ն
պատասխանում են միայն այն հասցեների հարցումներին, որոնց վստահում եք։
[!TIP] Համատեղեք IP թույլատրման ցանկը կորպորատիվ SSO-ի և շրջանակված API բանալիների հետ. ցանցի փակագծումը սահմանափակում է որտեղից, SSO-ն սահմանափակում է ով, իսկ շրջանակները սահմանափակում են ինչ։
Օդանջատ ռեժիմ
Ինքնիշխան կամ մեկուսացված տեղակայումների համար սահմանեք AIHUMMER_AIRGAPPED=1՝
արգելափակելու մոդելի-վերահսկվող հանրային ելքը։ Այս ռեժիմում գործակալի
գործիքները չեն կարող դուրս հասնել հանրային ինտերնետին մոդելի անունից, ինչը
հեռացնում է արտահոսքի և SSRF ռիսկի մի ամբողջ դաս։
# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1
[!WARNING] Օդանջատ ռեժիմն անջատում է գործիքները, որոնք կախված են հանրային ելքից (օրինակ՝ բաց-վեբ առբերումներ)։ Զուգակցեք այն ինքնահոստինգով sidecar-ների և տեղական մոդելների հետ, որպեսզի տեղակայումը մնա լիովին գործունակ առանց արտաքին կանչերի։ Լիարժեք օդանջատից կարճ՝ ավելի նուրբ վերահսկողության համար, օգտագործեք ելքի թույլատրման ցանկերը, որ նկարագրված են Պաշտպանական պատնեշներում։
Աուդիտի մատյան
Ադմին փոփոխությունները գրանցվում են աուդիտի մատյանում՝ պահպանմամբ և էջավորմամբ,
ընթեռնելի /v1/admin/audit-ում։ Պահպանումը վերահսկվում է
AIHUMMER_AUDIT_RETENTION_DAYS-ով, այնպես որ կարող եք հետք պահել այնքան, որքան
պահանջում է ձեր համապատասխանության քաղաքականությունը, և թույլ տալ, որ ավելի հին
գրառումները հնանան։
# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365
Աուդիտի հետքը բնականաբար զուգակցվում է RBAC-ի և SSO-ի հետ. SSO-ն և IP թույլատրման ցանկը որոշում են, թե ով կարող է գործել, շրջանակված բանալիները որոշում են, թե ինչ կարող են անել, իսկ աուդիտի մատյանը գրանցում է, թե ինչ են արել։
Մատակարարման շղթա և գործարկման դիրքավորում
AiHummer-ի գործարկման միջավայրը միտումնավոր փոքր և ստուգելի է.
| Հատկություն | Դիրքավորում |
|---|---|
| Gateway | Մեկ Go երկուական (control-plane + հերթի շարժիչ)։ |
| Ուղղակի կախվածություններ | Մոտավորապես 25 ուղղակի Go մոդուլ — փոքր, աուդիտելի մակերես։ |
| Փաթեթավորում | Հոսթ-բնիկ. release tarball + systemd, առանց Docker-ի։ |
| Sidecar-ներ | Առանձին HTTP ծառայություններ, որ հասանելի են URL-ով, տեղադրվում են միայն անհրաժեշտության դեպքում։ |
[!NOTE] Հոսթ-բնիկ փաթեթավորումը նշանակում է, որ չկա container runtime, որ պետք լինի ամրապնդել կամ կարկատել ի լրումն հավելվածի — դուք գործարկում եք մեկ Go երկուական systemd-ի ներքո
/home/.aihummer-ից։ Սա ապրանքի մատակարարման եղանակի ստուգելի հատկություն է, ոչ թե բացարձակ անվտանգության մասին պնդում։
Ուր հաջորդ
- Կորպորատիվ SSO — ով է թույլատրված ներս։
- RBAC և շրջանակված API բանալիներ — ինչ կարող են անել՝ ներս մտնելուց հետո։
- Պաշտպանական պատնեշներ և prompt-injection-ից պաշտպանություն — ելքի թույլատրման ցանկեր և SSRF պաշտպանություն դուրս հասնող գործիքների համար։