Vault SecretRef’leri
Paketle birlikte gelen Vault Plugin’i, OpenClaw’un Gateway başlangıcında ve yeniden yükleme sırasında HashiCorp Vault’takiexec SecretRef’lerini çözümlemesini sağlar. OpenClaw, Vault referanslarını yapılandırmada saklar, çözümlenen değerleri bellek içi gizli bilgiler anlık görüntüsünde tutar ve çözümlenen API anahtarlarını openclaw.json dosyasına geri yazmaz.
Zaten Vault çalıştırıyorsanız veya model sağlayıcısı anahtarlarının OpenClaw yapılandırma dosyalarının dışında tutulmasını istiyorsanız bunu kullanın. SecretRef çalışma zamanı modeli için Gizli bilgilerin yönetimi bölümüne bakın.
Başlamadan önce
Gereksinimler:- paketle birlikte gelen
vaultPlugin’inin kullanılabilir olduğu OpenClaw - erişilebilir bir Vault sunucusu
- OpenClaw’un çözümlemesi gereken gizli bilgi yollarına okuma erişimi olan bir istemci belirteci üretebilen Vault kimlik doğrulaması
- Gateway’i başlatan ortamda
VAULT_ADDRve ayrıcaVAULT_TOKEN,VAULT_TOKEN_FILEile birlikteOPENCLAW_VAULT_AUTH_METHOD=token_fileveya yapılandırılmış bir JWT/Kubernetes oturum açma yöntemi bulunmalıdır
openclaw vault komutlarını çalıştırmadan önce paketle birlikte gelen Plugin’i etkinleştirin:
Vault’ta bir sağlayıcı anahtarı saklama
OpenClaw varsayılan olaraksecret konumuna bağlanmış KV v2’yi kullanır; bu, Vault geliştirme sunucusu örnekleriyle uyumludur. Üretim Vault ortamında, SecretRef kimliklerini oluşturmadan önce OPENCLAW_VAULT_KV_MOUNT değerini gerçek KV bağlama yolunuza ayarlayın. OpenClaw varsayılanlarıyla şu SecretRef kimliği:
Vault’u Gateway için görünür hâle getirme
Kapsayıcıda çalışmayan yerel bir Gateway için Vault ayarlarını OpenClaw’u başlatan aynı kabukta dışa aktarın. Varsayılan kimlik doğrulama yöntemi, Vault istemci belirteciniVAULT_TOKEN değişkeninden okur:
jwt türünde bir Vault rolü kullanın:
kubernetes kullanın. Bu yöntem, Pod olarak çalışan Gateway’ler içindir; varsayılan bağlama noktası kubernetes, varsayılan JWT dosyası ise standart hizmet hesabı belirteci yoludur:
OPENCLAW_VAULT_AUTH_MOUNT değişkenini yalnızca Vault, Kubernetes kimlik doğrulamasını auth/kubernetes dışında bir konuma bağladıysa ayarlayın. OPENCLAW_VAULT_JWT_FILE değişkenini yalnızca hizmet hesabı belirteci özel bir yola yansıtılmışsa ayarlayın.
İsteğe bağlı ayarlar:
openclaw vault status, VAULT_TOKEN değerini hiçbir zaman yazdırmaz; yalnızca belirtecin, belirteç dosyasının ve JWT dosyasının ayarlanıp ayarlanmadığını bildirir.
SecretRef planı oluşturma ve uygulama
OpenRouter’ın model sağlayıcısı API anahtarını Vault ile eşleyen bir plan oluşturun:--allow-exec kullanın.
Gateway henüz çalışmıyorsa planı uyguladıktan sonra openclaw secrets reload komutunu çalıştırmak yerine Gateway’i normal şekilde başlatın.
Daha fazla sağlayıcı anahtarı yapılandırma
Yerleşik kısayollar:--provider-key kullanın:
--provider-key <provider=id>, models.providers.<provider>.apiKey konumuna bir SecretRef yazar. Özel sağlayıcılar için sağlayıcının baseUrl, api veya models ayarlarını oluşturmaz; önce bunları yapılandırın.
Bilinen herhangi bir SecretRef hedef yolu için --target <path=id> kullanın:
openclaw.json dosyasına uygulanır. Mevcut auth-profiles.json hedefleri için auth-profiles:<agentId>:<path> kullanın. Hedef yol, kayıtlı bir OpenClaw SecretRef hedefi olmalıdır. Kurulum komutu OpenClaw’da rastgele adlandırılmış gizli bilgiler oluşturmaz; gizli bilgi deposu Vault olarak kalır ve OpenClaw, SecretRef’leri yalnızca desteklenen yapılandırma alanlarında saklar.
SecretRef kimliği biçimi
Vault SecretRef kimlikleri şu kuralı kullanır:
Döndürülen Vault alanı bir dize olmalıdır.
KV v1 için şunu ayarlayın:
providers/openrouter/apiKey şunu okur:
OpenClaw’un sakladıkları
Bir Vault kurulum planı uygulandığında Plugin tarafından yönetilen bir sağlayıcı saklanır:Kapsayıcılar ve yönetilen dağıtımlar
Kapsayıcıda çalışan Gateway’ler de aynı Plugin’i ve SecretRef yapılandırmasını kullanır. Kapsayıcıya şunlar aktarılmalıdır:VAULT_ADDR- bir kimlik doğrulama kaynağı:
VAULT_TOKENOPENCLAW_VAULT_AUTH_METHOD=token_fileile birlikteVAULT_TOKEN_FILEOPENCLAW_VAULT_AUTH_METHOD=jwtile birlikteOPENCLAW_VAULT_AUTH_MOUNT,OPENCLAW_VAULT_AUTH_ROLEveOPENCLAW_VAULT_JWT_FILEOPENCLAW_VAULT_AUTH_METHOD=kubernetesile birlikteOPENCLAW_VAULT_AUTH_ROLE; isteğe bağlı olarakOPENCLAW_VAULT_AUTH_MOUNTveyaOPENCLAW_VAULT_JWT_FILEdeğerini geçersiz kılın
- isteğe bağlı
VAULT_NAMESPACE,OPENCLAW_VAULT_KV_MOUNTveOPENCLAW_VAULT_KV_VERSION
OPENCLAW_VAULT_AUTH_METHOD=kubernetes yöntemini tercih edin. OPENCLAW_VAULT_AUTH_METHOD=jwt yöntemini yalnızca Vault, kümeyi genel bir JWT/OIDC düzenleyicisi olarak ele alacak şekilde yapılandırılmışsa kullanın. Her iki seçenek de Kubernetes Secret içinde uzun ömürlü bir Vault belirteci bulundurmaktan daha iyidir. Vault Agent yan kapsayıcısı veya enjektör dağıtımları bunun yerine token_file kullanabilir.
Çok kiracılı Vault kurulumlarında kiracı yönlendirmesini Vault politikasında ve dağıtım yapılandırmasında tutun. OpenClaw sabit bir bağlama noktası, rol veya yol gerektirmez: her Gateway ortamı kendi OPENCLAW_VAULT_KV_MOUNT, OPENCLAW_VAULT_AUTH_ROLE ve SecretRef kimliklerini ayarlayabilir. Paylaşılan tek bir Gateway’in aynı anda farklı Vault kullanıcıları için çözümleme yapması gerekiyorsa farklı kimlik doğrulama ortamlarını sarmalayan, elle yapılandırılmış exec sağlayıcıları kullanın veya kiracıları ayrı Vault ortam değişkenlerine sahip Gateway ortamlarına bölün.