Komponenty platformy¶
Detailní architektura komponent a jejich interakce
Verze dokumentu: 1.0.0
Poslední aktualizace: 2026-02-10
1. Přehled komponent¶
MazeVault se skládá ze čtyř hlavních komponent, z nichž každá je nezávisle nasaditelná:
graph LR
subgraph Frontend["🖥️ Webové rozhraní"]
UI["⭐ React SPA"]
end
subgraph Backend["⚙️ API Server"]
API["🌐 REST API"]
Crypto["🔐 Šifrovací engine"]
PKI["📜 PKI služby"]
Sync["🔄 Sync engine"]
Auth["🔑 Auth Provider"]
end
subgraph OCSP["🛡️ OCSP Responder"]
OCSPSvc["✅ OCSP služba"]
end
subgraph Data["🗄️ Datová vrstva"]
PG["🗃️ PostgreSQL"]
RD["⚡ Redis"]
end
UI --> API
API --> Crypto
API --> PKI
API --> Sync
API --> Auth
API --> PG
API --> RD
OCSPSvc --> PG
classDef frontend fill:#EBF5FB,stroke:#2196F3,stroke-width:2px,color:#1565C0
classDef backend fill:#E8EAF6,stroke:#3F51B5,stroke-width:2px,color:#283593
classDef ocsp fill:#FFF8E1,stroke:#FF9800,stroke-width:2px,color:#E65100
classDef data fill:#E8F5E9,stroke:#4CAF50,stroke-width:2px,color:#2E7D32
class UI frontend
class API,Crypto,PKI,Sync,Auth backend
class OCSPSvc ocsp
class PG,RD data2. Webové rozhraní¶
Webové rozhraní MazeVault je Single Page Application (SPA) poskytující:
- Dashboard — Přehled tajemství, certifikátů, stavu synchronizace a plánu rotací
- Správa tajemství — Vytváření, čtení, aktualizace a mazání tajemství s historií verzí
- Správa certifikátů — Žádost, schválení, revokace a správa certifikátů
- Administrace PKI — Správa certifikační autority, distribuce CRL, konfigurace OCSP
- Řízení přístupu — Správa přístupu na základě rolí, administrace uživatelů a týmů
- Správa projektů — Organizace tajemství a certifikátů do izolovaných projektů
- Správa agentů — Registrace, monitoring a konfigurace MazeVault agentů
Klíčové funkce¶
| Funkce | Popis |
|---|---|
| UI na základě rolí | Rozhraní se přizpůsobuje oprávněním uživatele — administrátoři vidí správcovské ovládací prvky, operátoři provozní zobrazení |
| Tmavý režim | Plná podpora světlého/tmavého tématu |
| Responzivní design | Optimalizováno pro desktopové a tabletové formáty |
| Aktualizace v reálném čase | Notifikace přes WebSocket pro události certifikátů a stav synchronizace |
| Export | Export tajemství a certifikátů ve standardních formátech (PEM, PKCS#12, JKS) |
3. API Server¶
API Server je jádrem platformy MazeVault, zpracovává veškerou business logiku, šifrovací operace a externí integrace.
Kategorie služeb¶
Základní služby¶
| Služba | Odpovědnost |
|---|---|
| Správa tajemství | Šifrované CRUD operace, verzování, sdílení, rotace |
| Správa certifikátů | Zpracování CSR, vydávání, revokace, obnova, import/export |
| Certifikační autorita | Správa Root/Intermediate CA, generování CRL, OCSP podepisování |
| Správa projektů | Multi-tenant izolace projektů, organizace zdrojů |
| RBAC | Řízení přístupu na základě rolí s granulárními oprávněními |
PKI služby¶
| Služba | Odpovědnost |
|---|---|
| SCEP Provider | Podpora Simple Certificate Enrollment Protocol |
| EST Provider | Podpora Enrollment over Secure Transport |
| ACME Provider | Podpora Automated Certificate Management Environment |
| Distribuce CRL | Generování a distribuce Certificate Revocation List |
Integrační služby¶
| Služba | Odpovědnost |
|---|---|
| Konektory externích CA | DigiCert, Venafi, Microsoft ADCS, SSL Market, PostSignum |
| Cloudové Key Vaults | Azure Key Vault, AWS Secrets Manager |
| SSO poskytovatelé | Azure Entra ID, GitHub, GitLab, LDAP, SAML 2.0 |
| HSM poskytovatelé | AWS CloudHSM, Azure Managed HSM, Google Cloud HSM, PKCS#11, Hardware wallets |
Middleware řetězec¶
Všechny API požadavky procházejí bezpečnostním middleware řetězcem:
- TLS terminace — Vynucena na úrovni ingress/proxy
- Rate limiting — Konfigurovatelné limity per endpoint
- CORS validace — Striktní kontrola původu
- CSRF ochrana — Double-submit cookie pattern
- Autentizace — Validace JWT, ověření API klíče nebo mTLS
- Autorizace — Kontrola RBAC oprávnění
- Auditní logování — Všechny operace zaznamenány s kontextem uživatele
- Validace požadavků — Sanitizace vstupů a validace schématu
4. OCSP Responder¶
OCSP Responder poskytuje validaci certifikátů v reálném čase v souladu s RFC 6960.
Schopnosti¶
- Kontroly stavu certifikátů v reálném čase (Good, Revoked, Unknown)
- Konfigurovatelné cachování odpovědí pro výkon
- Prometheus metriky pro monitoring
- Nezávislé škálování od API Serveru
- Readiness a liveness sondy pro Kubernetes
Endpointy¶
| Endpoint | Metoda | Účel |
|---|---|---|
/ocsp |
POST | OCSP požadavek (DER kódovaný) |
/health |
GET | Stav zdraví služby |
/ready |
GET | Kubernetes readiness sonda |
/live |
GET | Kubernetes liveness sonda |
/metrics |
GET | Prometheus metriky |
5. Datová vrstva¶
PostgreSQL¶
PostgreSQL slouží jako primární perzistentní úložiště pro veškerá data platformy:
- Tajemství — Šifrované hodnoty tajemství, metadata, historie verzí
- Certifikáty — Záznamy certifikátů, CA řetězce, data o revokaci
- Řízení přístupu — Uživatelé, role, oprávnění, přiřazení k projektům
- Auditní stopa — Komplexní provozní záznamy
- Konfigurace — Systémová a projektová nastavení
Veškerá citlivá data jsou šifrována na aplikační úrovni (AES-256-GCM) před uložením do databáze. SSL na úrovni databáze je v produkci vynuceno.
Redis¶
Redis poskytuje vysoce výkonné cachování a správu relací:
| Použití | TTL | Popis |
|---|---|---|
| Cache relací | 24h | Autentizované uživatelské relace |
| Cache tajemství | Konfigurovatelné | Často přistupovaná tajemství (šifrovaná) |
| Čítače rate limitů | 1–60min | Rate limiting per IP a per uživatel |
| CSRF tokeny | 30min | Prevence cross-site request forgery |
Odolnost
MazeVault funguje s duálním režimem cache: pokud se Redis stane nedostupným, systém automaticky přepne na in-memory cache, čímž zajistí pokračování provozu se sníženým výkonem.
6. Matice škálovatelnosti¶
| Komponenta | Min replik | Max replik | Metoda škálování | Poznámky |
|---|---|---|---|---|
| Webové rozhraní | 1 | 10+ | HPA (CPU/Paměť) | Bezstavové, volně škálovatelné |
| API Server | 1 | 1* | Vertikální | *Jedna replika z důvodu licence; kontaktujte podporu pro multi-replica licenci |
| OCSP Responder | 1 | 5+ | HPA (Frekvence požadavků) | Bezstavový, read-only přístup k databázi |
| PostgreSQL | 1 | 3 | Read repliky | Primární + read repliky pro reporting |
| Redis | 1 | 3 | Sentinel/Cluster | Volitelná HA s Redis Sentinel |
Související¶
- Přehled architektury — Vysokoúrovňová architektura
- Kontroly zdraví — Monitoring zdraví komponent
- Průvodce škálováním — Doporučení pro škálování