监控与安全
适用读者:站长、安全与运维负责人
监控四个层次
| 层次 | 观察信号 |
|---|---|
| 插件运行 | Plugin status.phase、Halo 错误日志 |
| 模型服务 | 调用成功率、耗时、429/5xx、token |
| RAG | 索引文章数、失败文章、检索命中和 Trace |
| 访客体验 | SSE 首 token、总耗时、点踩率、限流拒绝 |
建议告警
- 插件状态不为
STARTED。 - 模型失败率持续升高。
- 索引失败文章数增加。
- 每日 token 接近限额。
- 点踩率或无命中率异常上升。
- SSE 首 token 延迟显著增加。
安全边界
- API Key 存储在 Secret,普通配置存储在 ConfigMap。
- 模型 Base URL 进行 SSRF 防护,默认拒绝本机、内网和云元数据地址。
- 公开 API 仅通过匿名 RoleTemplate 精确授权。
- Console API 使用管理员认证。
- 访客调用同时受 IP 限流和模型预算保护。
- 日志中的模型错误会尽量清理疑似 API Key。
代理信任
插件优先读取 X-Forwarded-For。只有可信反向代理应有权设置或覆盖这个头,否则攻击者可能伪造 IP 绕过限流。生产环境应在最外层代理清理客户端自带的转发头并重新写入。
隐私
问答日志可能包含个人信息。应明确保存目的、访问范围和清理周期,并在前台展示必要提示。排障截图、Trace 和导出数据进入外部系统前必须脱敏。