自托管
自托管
在自己的环境中运行 Open Connector,同时保留相同的 Broker 与 API 模型。
自托管适合需要在自己的环境中运行凭证 Broker、数据库、加密密钥和 OAuth 应用的团队。SaaS Quick Start 不要求自托管。
您需要运行的组件
| 组件 | 职责 |
|---|---|
| API 服务 | OAuth 回调、项目 Key 认证、凭证代理和 API 路由 |
| Postgres | 应用状态和加密凭证记录 |
| 加密密钥 | CONNECTOR_ENCRYPTION_KEY;丢失后现有加密凭证无法恢复 |
| 公网 HTTPS origin | OAuth callback base 和 Agent 调用的 API 端点 |
| OAuth 应用 | 未使用可用托管配置时所需的供应商 client credentials |
可选的控制台可用于管理组织、项目、Auth Config、连接与 API Key。Agent 仍然调用项目 Key 保护的 API,而不是直接访问数据库。
选择正确的指南
本地开发
运行仓库的 Postgres、MinIO 和可观测性依赖,再通过 pnpm 启动应用。
AWS 生产部署
仓库当前生产拓扑:EC2 Docker Compose、Cloudflare、Secrets Manager 和 Neon。
环境变量
以经过验证的运行时 schema 作为必填与可选配置的唯一事实来源。
数据库操作
执行迁移、理解本地数据库初始化并规划备份。
生产形态
支持的生产部署使用 Cloudflare 作为公网入口;一台 EC2 主机运行容器化的 server、marketing 和 docs 服务;控制台 SPA 使用 S3 + CloudFront;Postgres 使用 Neon。部署通过 AWS SSM 到达主机,应用主机不开放入站应用端口。
精确的基础设施、IAM 边界、密钥处理和日常运维请遵循部署到 AWS,不要改造通用平台教程。
上线前
- 安全生成并备份
BETTER_AUTH_SECRET和CONNECTOR_ENCRYPTION_KEY。 - 正确设置服务的公网 URL 和 CORS origin。
- 按 Broker 公网 origin 注册各供应商 OAuth callback。
- 将数据库迁移纳入部署流程。
- 从公网端点验证项目 API Key、真实连接和一次 Broker 工具调用。
只有数据库备份不能解密凭证。请使用真正的密钥管理流程保护并恢复加密密钥。