AiHummer
Română
Autentificare
v1.0.x
{ }Swagger

Rețea, audit și air-gapped

v1.0.x · actualizat 2026-06-26

Această pagină acoperă controalele care guvernează unde poate fi accesat și poate ajunge AiHummer, ce înregistrează și din ce este construit: lista de IP-uri permise pentru administrare, modul air-gapped, jurnalul de audit și postura lanțului de aprovizionare.

Lista de IP-uri permise (poartă IP pentru administrare)

Poți restrânge suprafața de administrare la rețele cunoscute cu o listă de IP-uri permise, gestionată la /v1/admin/security/ip-allowlist. Când este configurată, accesul de administrare este protejat în funcție de IP-ul sursă, astfel încât API-ul și interfața de administrare răspund doar cererilor de la adresele în care ai încredere.

[!TIP] Combină lista de IP-uri permise cu SSO enterprise și chei API cu domeniu: poarta de rețea limitează de unde, SSO limitează cine, iar domeniile limitează ce.

Modul air-gapped

Pentru implementări suverane sau izolate, setează AIHUMMER_AIRGAPPED=1 pentru a bloca egresul public controlat de model. În acest mod, instrumentele agentului nu pot ieși la internetul public în numele modelului, ceea ce elimină o întreagă clasă de risc de exfiltrare și SSRF.

# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1

[!WARNING] Modul air-gapped dezactivează instrumentele care depind de egresul public (de exemplu preluări de pe web deschis). Asociază-l cu sidecar-uri auto-găzduite și modele locale, astfel încât implementarea să rămână pe deplin funcțională fără apeluri externe. Pentru un control mai fin, mai puțin decât un air-gap complet, folosește listele de egres permise descrise în Garduri de protecție.

Jurnal de audit

Schimbările de administrare sunt înregistrate într-un jurnal de audit cu păstrare și paginare, lizibil la /v1/admin/audit. Păstrarea este controlată de AIHUMMER_AUDIT_RETENTION_DAYS, astfel încât poți păstra o pistă atât timp cât cere politica ta de conformitate și să lași intrările mai vechi să expire.

# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365

Pista de audit se asociază firesc cu RBAC și SSO: SSO și lista de IP-uri permise decid cine poate acționa, cheile cu domeniu decid ce pot face, iar jurnalul de audit înregistrează ce au făcut.

Lanț de aprovizionare și postura de runtime

Runtime-ul AiHummer este deliberat mic și inspectabil:

Proprietate Postură
Gateway Un singur binar Go (control-plane + motor de tură).
Dependențe directe Aproximativ 25 de module Go directe — o suprafață mică, auditabilă.
Împachetare Nativ pe gazdă: tarball de versiune + systemd, fără Docker.
Sidecar-uri Servicii HTTP separate accesate prin URL, instalate doar dacă este nevoie.

[!NOTE] Împachetarea nativă pe gazdă înseamnă că nu există niciun runtime de container de întărit sau de actualizat pe lângă aplicație — rulezi un singur binar Go sub systemd din /home/.aihummer. Aceasta este o proprietate verificabilă a modului în care este livrat produsul, nu o afirmație despre securitate absolută.

Unde mergi mai departe