Qu'est-ce qu'un connecteur ?
Un connecteur est l'agent léger installé à l'intérieur de votre réseau (centre de données, VPC, sur un poste de travail) qui permet à VaultPAM d'orchestrer des sessions vers des cibles qui ne sont pas directement accessibles depuis Internet.
Pourquoi en avez-vous besoin
Vos cibles (serveurs Windows, hôtes Linux, bases de données) se trouvent généralement derrière un pare-feu. Vous ne voulez pas ouvrir de brèches entrantes pour VaultPAM. Un connecteur résout ce problème en établissant un tunnel inverse sortant vers le plan de contrôle VaultPAM : les sessions transitent par ce tunnel, de sorte qu'aucune modification entrante du pare-feu n'est nécessaire.
Formes de déploiement
- Docker (recommandé pour les serveurs) — un conteneur par connecteur.
- Programme d'installation natif — MSI (Windows), DMG (macOS), DEB/RPM (Linux).
- Appliance VM — OVA préconstruit pour les environnements qui souhaitent une image VM immuable et signée.
- Kubernetes — chart Helm (feuille de route v2) ou les manifestes Kustomize que nous livrons aujourd'hui.
Comment fonctionne l'appairage
- Vous cliquez sur Ajouter un connecteur dans le tableau de bord. VaultPAM génère un jeton d'enrôlement à usage unique.
- Vous lancez le connecteur avec le jeton (collé dans un
docker run, dans une invite du programme d'installation natif, ou — une fois que AIC-1958 sera disponible — via un flux d'appairage automatique dans le navigateur). - Le connecteur présente le jeton, résout un défi de certificat et se voit délivrer un certificat client mTLS lié à son identité.
- En mode de redémarrage autonome, l'identité délivrée est stockée sous
PAM_AGENT_DATA_DIRet doit survivre aux redémarrages. Utilisez un volume nommé Docker ou un bind mount, un chemin d'hôte VM/natif durable, ou un PVC Kubernetes. - À partir de ce moment, le connecteur maintient un tunnel TLS sortant ouvert vers le plan de contrôle. Les sessions sont multiplexées sur ce tunnel.
Modes d'exécution
Le connecteur dispose de deux modes pris en charge :
- Mode de redémarrage autonome : le connecteur dispose d'un état local durable persistant
/dataou équivalent, de sorte que l'identité survit au redémarrage et que le connecteur se reconnecte de lui-même. - Mode de récupération guidée : le connecteur s'exécute sans
/datapersistant, de sorte que l'identité peut être perdue lors du redémarrage et que l'interface guide la récupération. L'état d'exécution interne estneeds_recovery; l'interface l'affiche sous la formeNeeds recovery.
Dans les deux modes, la configuration du connecteur doit rester disponible séparément de l'identité d'exécution. La configuration est un état détenu par le déploiement et ne doit pas être perdue simplement parce que /data n'est pas persistant. La configuration ne doit pas inclure de jetons d'amorçage, de clés privées, de matériel privé de certificat ni de secrets déchiffrés.
Accessibilité et routage
Une ressource indique quel connecteur peut l'atteindre. Si vous avez plusieurs connecteurs dans différents réseaux, chaque ressource pointe vers le bon. VaultPAM ne tente jamais d'atteindre la cible directement — uniquement via un connecteur.
Santé
Un connecteur émet un battement de cœur toutes les 10 s. Si le battement de cœur s'arrête, le tableau de bord affiche Hors ligne et le connecteur est retiré des décisions de routage jusqu'à sa récupération. Les sessions en cours via un connecteur hors ligne s'interrompent de manière contrôlée.