ეს გვერდი მოიცავს კონტროლებს, რომლებიც განაგებენ, სად შეიძლება მიწვდეს AiHummer და
რას აღწევს, რას იწერს ის და რისგან არის აგებული: ადმინ IP allowlist, air-gapped რეჟიმი,
აუდიტის ლოგი და მიწოდების-ჯაჭვის პოზიცია.
IP allowlist (ადმინ IP გაკონტროლება)
შეგიძლია შეზღუდო ადმინ ზედაპირი ცნობილ ქსელებამდე IP allowlist-ით,
რომელიც იმართება მისამართზე /v1/admin/security/ip-allowlist. კონფიგურაციისას ადმინ წვდომა
გაკონტროლებულია წყაროს IP-ით, ასე რომ ადმინ API და UI პასუხობენ მხოლოდ შენთვის სანდო
მისამართებიდან მოსულ მოთხოვნებს.
სუვერენული ან იზოლირებული განთავსებებისთვის, დააყენე AIHUMMER_AIRGAPPED=1, რათა დაბლოკო
მოდელის-კონტროლირებადი საჯარო გამავალი ტრაფიკი. ამ რეჟიმში აგენტის ხელსაწყოებს არ
შეუძლიათ მიწვდნენ საჯარო ინტერნეტს მოდელის სახელით, რაც აშორებს ექსფილტრაციისა და SSRF
რისკის მთელ კლასს.
[!WARNING]
air-gapped რეჟიმი თიშავს ხელსაწყოებს, რომლებიც დამოკიდებულია საჯარო გამავალ ტრაფიკზე
(მაგალითად, ღია-ვების წამოღებები). დააწყვილე იგი თვით-ჰოსტირებულ sidecar-ებთან და
ლოკალურ მოდელებთან, რათა განთავსება დარჩეს სრულად ფუნქციური გარე გამოძახებების გარეშე.
სრულ air-gap-ზე ნაკლები ზუსტი კონტროლისთვის, გამოიყენე გამავალი ტრაფიკის allowlist-ები,
აღწერილი Guardrail-ებში.
აუდიტის ლოგი
ადმინ ცვლილებები იწერება აუდიტის ლოგში შენახვითა და გვერდებად დაყოფით,
წაკითხვადი მისამართზე /v1/admin/audit. შენახვა კონტროლდება
AIHUMMER_AUDIT_RETENTION_DAYS-ით, ასე რომ შეგიძლია შეინახო კვალი იმდენი ხანი, რამდენსაც
შენი შესაბამისობის პოლიტიკა მოითხოვს და ძველი ჩანაწერები მოაცილო.
აუდიტის კვალი ბუნებრივად წყვილდება RBAC-სა და SSO-სთან: SSO და IP allowlist წყვეტენ,
ვინ შეიძლება იმოქმედოს, არეალირებული გასაღებები წყვეტენ, რა შეუძლიათ გააკეთონ, ხოლო აუდიტის
ლოგი იწერს, რა გააკეთეს.
მიწოდების ჯაჭვი და გაშვების პოზიცია
AiHummer-ის გაშვების გარემო შეგნებულად მცირე და დასათვალიერებელია:
თვისება
პოზიცია
Gateway
ერთი Go ბინარი (კონტროლის-სიბრტყე + ბიჯის ძრავა).
პირდაპირი დამოკიდებულებები
დაახლოებით 25 პირდაპირი Go მოდული — მცირე, აუდიტირებადი ზედაპირი.
შეფუთვა
ჰოსტ-მშობლიური: რელიზის tarball + systemd, Docker-ის გარეშე.
Sidecar-ები
ცალკე HTTP სერვისები, რომლებსაც აღწევენ URL-ით, დაყენებული მხოლოდ საჭიროებისას.
[!NOTE]
ჰოსტ-მშობლიური შეფუთვა ნიშნავს, რომ არ არსებობს კონტეინერის გარემო, რომელიც აპლიკაციის
გარდა უნდა გამყარდეს ან განახლდეს — შენ უშვებ ერთ Go ბინარს systemd-ის ქვეშ
/home/.aihummer-დან. ეს არის გადამოწმებადი თვისება იმისა, თუ როგორ მიეწოდება პროდუქტი,
და არა აბსოლუტური უსაფრთხოების მტკიცება.
ეს გვერდი მოიცავს კონტროლებს, რომლებიც განაგებენ, *სად* შეიძლება მიწვდეს AiHummer და
რას აღწევს, *რას* იწერს ის და *რისგან* არის აგებული: ადმინ IP allowlist, air-gapped რეჟიმი,
აუდიტის ლოგი და მიწოდების-ჯაჭვის პოზიცია.
## IP allowlist (ადმინ IP გაკონტროლება)
შეგიძლია შეზღუდო ადმინ ზედაპირი ცნობილ ქსელებამდე **IP allowlist-ით**,
რომელიც იმართება მისამართზე `/v1/admin/security/ip-allowlist`. კონფიგურაციისას ადმინ წვდომა
გაკონტროლებულია წყაროს IP-ით, ასე რომ ადმინ API და UI პასუხობენ მხოლოდ შენთვის სანდო
მისამართებიდან მოსულ მოთხოვნებს.
> [!TIP]
> დააწყვილე IP allowlist [საწარმოო SSO-სა](/ka/v1.0/security/enterprise-sso) და
> [არეალირებულ API გასაღებებთან](/ka/v1.0/security/rbac): ქსელის გაკონტროლება ზღუდავს
> *საიდან*, SSO ზღუდავს *ვინ*, ხოლო არეალები ზღუდავენ *რას*.
## Air-gapped რეჟიმი
სუვერენული ან იზოლირებული განთავსებებისთვის, დააყენე `AIHUMMER_AIRGAPPED=1`, რათა დაბლოკო
**მოდელის-კონტროლირებადი საჯარო გამავალი ტრაფიკი**. ამ რეჟიმში აგენტის ხელსაწყოებს არ
შეუძლიათ მიწვდნენ საჯარო ინტერნეტს მოდელის სახელით, რაც აშორებს ექსფილტრაციისა და SSRF
რისკის მთელ კლასს.
```ini
# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1
```
> [!WARNING]
> air-gapped რეჟიმი თიშავს ხელსაწყოებს, რომლებიც დამოკიდებულია საჯარო გამავალ ტრაფიკზე
> (მაგალითად, ღია-ვების წამოღებები). დააწყვილე იგი თვით-ჰოსტირებულ sidecar-ებთან და
> ლოკალურ მოდელებთან, რათა განთავსება დარჩეს სრულად ფუნქციური გარე გამოძახებების გარეშე.
> სრულ air-gap-ზე ნაკლები ზუსტი კონტროლისთვის, გამოიყენე გამავალი ტრაფიკის allowlist-ები,
> აღწერილი [Guardrail-ებში](/ka/v1.0/security/guardrails).
## აუდიტის ლოგი
ადმინ ცვლილებები იწერება **აუდიტის ლოგში** შენახვითა და გვერდებად დაყოფით,
წაკითხვადი მისამართზე `/v1/admin/audit`. შენახვა კონტროლდება
`AIHUMMER_AUDIT_RETENTION_DAYS`-ით, ასე რომ შეგიძლია შეინახო კვალი იმდენი ხანი, რამდენსაც
შენი შესაბამისობის პოლიტიკა მოითხოვს და ძველი ჩანაწერები მოაცილო.
```ini
# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365
```
აუდიტის კვალი ბუნებრივად წყვილდება RBAC-სა და SSO-სთან: SSO და IP allowlist წყვეტენ,
ვინ შეიძლება იმოქმედოს, არეალირებული გასაღებები წყვეტენ, რა შეუძლიათ გააკეთონ, ხოლო აუდიტის
ლოგი იწერს, რა გააკეთეს.
## მიწოდების ჯაჭვი და გაშვების პოზიცია
AiHummer-ის გაშვების გარემო შეგნებულად მცირე და დასათვალიერებელია:
| თვისება | პოზიცია |
|---|---|
| Gateway | ერთი Go ბინარი (კონტროლის-სიბრტყე + ბიჯის ძრავა). |
| პირდაპირი დამოკიდებულებები | დაახლოებით 25 პირდაპირი Go მოდული — მცირე, აუდიტირებადი ზედაპირი. |
| შეფუთვა | ჰოსტ-მშობლიური: რელიზის tarball + systemd, **Docker-ის გარეშე**. |
| Sidecar-ები | ცალკე HTTP სერვისები, რომლებსაც აღწევენ URL-ით, დაყენებული მხოლოდ საჭიროებისას. |
> [!NOTE]
> ჰოსტ-მშობლიური შეფუთვა ნიშნავს, რომ არ არსებობს კონტეინერის გარემო, რომელიც აპლიკაციის
> გარდა უნდა გამყარდეს ან განახლდეს — შენ უშვებ ერთ Go ბინარს systemd-ის ქვეშ
> `/home/.aihummer`-დან. ეს არის გადამოწმებადი თვისება იმისა, თუ როგორ მიეწოდება პროდუქტი,
> და არა აბსოლუტური უსაფრთხოების მტკიცება.
## სად შემდეგ
- [საწარმოო SSO](/ka/v1.0/security/enterprise-sso) — ვის აქვს შესვლის უფლება.
- [RBAC და არეალირებული API გასაღებები](/ka/v1.0/security/rbac) — რა შეუძლიათ შესვლის შემდეგ.
- [Guardrail-ები და prompt-injection დაცვა](/ka/v1.0/security/guardrails) — გამავალი ტრაფიკის
allowlist-ები და SSRF დაცვა ხელსაწყოებისთვის, რომლებიც აღწევენ გარეთ.