Для кого: администратор и SRE.
Требуемые права: администратор панели; доступ к серверу для настройки мастер-ключа.
Хранилище секретов
Учётные данные сторонних сервисов (доступы к CDN-провайдерам, токены DNS, ключи доступа к хранилищу резервных копий, токены интеграций мониторинга) шифруются перед записью в базу данных и никогда не попадают в логи в открытом виде. Шифрование выполняется современным алгоритмом аутентифицированного шифрования. Для документации и эксплуатации важно одно: всё хранилище защищено единым мастер-ключом, который вы задаёте на сервере.Мастер-ключ AXOTTLE_SECRET_KEY
Мастер-ключ задаётся переменной окружения AXOTTLE_SECRET_KEY на сервере панели.
Сгенерировать надёжный ключ:
/etc/axottle/axottle.env) и перезапустите сервис. Порядок безопасного изменения переменных — Конфигурация.
Мастер-ключ используется не только хранилищем секретов, но и для шифрования резервных копий (когда оно включено). Часть функций (интеграции мониторинга, провайдеры) не запустится без заданного ключа и прямо сообщит об этом.
Служебные токены
Некоторые операции используют отдельные служебные токены. Сохраните показанный токен сразу после создания: повторно посмотреть его полностью нельзя.| Токен | Префикс | Назначение | Управление |
|---|---|---|---|
| Enrollment-токен | axe_ | Одноразовая регистрация ноды | Создаётся на странице ноды, срок 30 минут, отзыв вручную |
| Токен агента | axa_ | Постоянные учётные данные агента ноды | Выдаётся при регистрации, ротируется при повторной регистрации |
| Integration-токен | axt_ | Для будущих интеграций | Создание/список/отзыв через панель |
Обращение с секретами
- Считайте любой выданный токен полноценным секретом: храните в менеджере секретов, не коммитьте в репозитории, не пересылайте в открытых каналах.
- Отзывайте токены, которые больше не нужны или могли быть скомпрометированы.
- Для доступов провайдеров используйте выделенные ключи с минимально необходимыми правами — см. Провайдеры.
Проверка
AXOTTLE_SECRET_KEY задан сильным значением (не значение по умолчанию), сервис стартует без ошибок о недоступности ключа, а тест подключения провайдера/интеграции проходит успешно.Откат
- Скомпрометированный токен: отзовите его (для integration-токена — удалением, для enrollment/agent — отзывом или повторной регистрацией ноды) и при необходимости выпустите новый.
- Учётные данные провайдера: удалите их в соответствующем разделе — запись в хранилище секретов при этом удаляется.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.
