ObjectOS运维
生产就绪
安全地在生产环境运行 ObjectOS 的检查清单。
生产就绪
在让 ObjectOS 承接生产流量之前,请使用这份清单。
HTTP 加固
ObjectStack 运行时为分发路由提供了保守的安全响应头。生产部署应当 确认:
Content-Security-Policy;X-Content-Type-Options;X-Frame-Options;Referrer-Policy;Permissions-Policy;Cross-Origin-Resource-Policy;- 在确认 TLS 后启用 HSTS。
如果响应头由反向代理控制,请用以下命令验证最终响应:
curl -I https://app.example.comSecrets
以下内容应存放在密钥管理器中:
| Secret | 用途 |
|---|---|
OS_AUTH_SECRET | 会话签名的基础密钥 |
OS_CLOUD_API_KEY | 控制面 Artifact API 访问 |
| 数据库凭据 | 业务数据库访问 |
| OIDC client secret | 企业 SSO |
| 各类 Provider API key | 邮件、存储、AI、集成 |
切勿将 secret 写入产物或镜像。
限流
框架暴露了一个令牌桶限流器。请在调用方 IP 与已认证身份可信的位置 (适配器、入口或网关层)接入限流。
推荐的桶配置:
| 流量 | 示例上限 |
|---|---|
| 认证端点 | 10/分钟/IP |
| 写请求 | 60/分钟/IP |
| 读请求 | 600/分钟/IP |
多 Pod 部署应使用共享后端,如 Redis。
CORS
显式配置来源:
https://app.example.com
https://admin.example.com不要在携带凭据的请求中使用通配符来源。
上线检查清单
- TLS 在边缘或入口处终止。
- 安全响应头已就位。
- 验证 TLS 后启用 HSTS。
- CORS 来源是显式的。
- 对认证与写端点做了限流保护。
-
OS_AUTH_SECRET足够强并作为 secret 存储。 - OIDC 回调 URL 与公开域名一致。
- 业务数据库的备份与恢复已测试。
- 审计日志按客户策略保留。
- 跨组织的反向访问测试通过。
- 回滚方案覆盖 ObjectOS 镜像与产物版本。