AiHummer
Қазақша
Кіру
v1.0.x
{ }Swagger

Желі, аудит және air-gapped

v1.0.x · жаңартылды 2026-06-26

Бұл бет AiHummer-дің қайдан қол жеткізуге және қайда жетуге болатынын, нені жазып отыратынын және неден құрастырылғанын реттейтін бақылау құралдарын қамтиды: әкімші IP рұқсат тізімі, air-gapped режимі, аудит журналы және жеткізу тізбегінің ұстанымы.

IP рұқсат тізімі (әкімші IP гейтингі)

Сіз әкімші бетін IP рұқсат тізімі арқылы белгілі желілермен шектей аласыз, ол /v1/admin/security/ip-allowlist мекенжайында басқарылады. Конфигурацияланған кезде әкімшілік қол жеткізу бастапқы IP бойынша гейтингке ұшырайды, сондықтан әкімші API мен UI тек сіз сенетін мекенжайлардан келген сұраныстарға жауап береді.

[!TIP] IP рұқсат тізімін enterprise SSO және scoped API кілттерімен біріктіріңіз: желілік гейтинг қайдан екенін шектейді, SSO кімді шектейді, ал scope-тар нені шектейді.

Air-gapped режимі

Егемен немесе оқшауланған орналастырулар үшін модель басқаратын ашық egress трафигін блоктау мақсатында AIHUMMER_AIRGAPPED=1 орнатыңыз. Бұл режимде агенттің құралдары модельдің атынан ашық интернетке қол жеткізе алмайды, бұл exfiltration және SSRF тәуекелдерінің тұтас бір санатын жояды.

# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1

[!WARNING] Air-gapped режимі ашық egress трафигіне тәуелді құралдарды (мысалы, ашық вебтен жүктеулерді) өшіреді. Орналастыру сыртқы шақырулар жасамай-ақ толық жұмыс істеуі үшін оны өзіндік-хостталған sidecar-лармен және жергілікті модельдермен бірге қолданыңыз. Толық air-gap-қа дейінгі неғұрлым нәзік бақылау үшін Guardrails бөлімінде сипатталған egress рұқсат тізімдерін пайдаланыңыз.

Аудит журналы

Әкімші өзгерістері сақтау мерзімі мен беттеуі бар аудит журналында тіркеледі, оны /v1/admin/audit мекенжайында оқуға болады. Сақтау мерзімі AIHUMMER_AUDIT_RETENTION_DAYS арқылы басқарылады, сондықтан сіз ізді сәйкестік саясатыңыз талап еткен уақытқа дейін сақтап, ескі жазбалардың ескіруіне жол бере аласыз.

# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365

Аудит ізі RBAC және SSO-мен табиғи түрде үйлеседі: SSO мен IP рұқсат тізімі кімнің әрекет ете алатынын шешеді, scoped кілттер олардың не істей алатынын шешеді, ал аудит журналы олардың не істегенін жазады.

Жеткізу тізбегі және рантайм ұстанымы

AiHummer рантаймы әдейі шағын әрі тексеруге болатын етіп жасалған:

Сипат Ұстаным
Gateway Бір ғана Go бинарлысы (control-plane + turn engine).
Тікелей тәуелділіктер Шамамен 25 тікелей Go модулі — шағын, аудиттелетін бет.
Пакеттеу Хост-нативті: release tarball + systemd, Docker жоқ.
Sidecar-лар URL арқылы қолжетімді бөлек HTTP сервистері, тек қажет болғанда орнатылады.

[!NOTE] Хост-нативті пакеттеу қосымшаға қоса қатайтуға немесе жаңартуға қажетті контейнер рантаймы жоқ дегенді білдіреді — сіз /home/.aihummer ішінен systemd астында бір ғана Go бинарлысын іске қосасыз. Бұл өнімнің қалай жеткізілетінінің тексеруге болатын сипаты, абсолютті қауіпсіздік туралы талап емес.

Әрі қарай қайда