1password/connect-sync

1Password Connect

镜像概述和主要用途

1Password Connect服务器提供REST API接口，用于安全访问1Password账户中的数据。作为1Password Secrets Automation工作流的核心组件，它支持应用程序、服务或工具通过标准化API接口安全地获取和管理1Password中的敏感信息（如密钥、凭证、证书等）。

核心功能和特性

• REST API访问：通过connect-api容器提供RESTful接口，支持对1Password账户数据的安全操作
• 实时数据同步：通过connect-sync容器保持服务器数据与1Password.com实时同步
• 灵活部署选项：支持Docker、Kubernetes、Helm、AWS ECS等多种部署方式
• TLS加密支持：提供自签名证书和Let's Encrypt自动证书两种TLS配置方案
• 细粒度权限控制：通过访问令牌实现按金库（Vault）的读写权限管理
• 可配置参数：支持通过环境变量自定义端口、日志级别、同步超时等关键设置

使用场景和适用范围

适用场景

• 应用程序在运行时动态获取1Password中的密钥或凭证
• CI/CD流水线自动化获取构建或部署所需的敏感配置
• 服务器或服务在启动过程中加载1Password中的安全配置
• 需要集中管理和审计敏感信息访问的企业级环境

适用范围

• 开发团队：在开发环境中安全使用测试密钥，避免硬编码敏感信息
• 运维团队：自动化服务器或容器的密钥配置管理
• DevOps流程：集成到CI/CD工具链实现密钥自动化注入
• 任何需要通过API安全访问1Password数据的业务场景

使用方法和配置说明

快速开始

创建服务器和访问令牌

需使用1Password命令行工具（op）完成服务器创建和令牌生成。

创建Connect服务器：

sh
op create connect server <服务器名称> --vaults <金库名称>[,<金库名称>]

执行后将生成1password-credentials.json文件，用于后续部署Connect服务器。

生成访问令牌：

sh
op create connect token <服务器名称> <令牌名称> --vault <金库UUID>[,(r|w|rw)] [--vault <金库UUID>[,(r|w|rw)]]

• r：只读权限；w：只写权限；rw：读写权限
• 支持通过多个--vault参数为不同金库配置独立权限

部署Connect服务器

部署1Password Connect需同时运行两个容器：

• 1password/connect-sync：负责与1Password.com同步数据
• 1password/connect-api：提供REST API服务接口

部署方式示例

• https://github.com/1Password/connect-helm-charts/tree/main/charts/connect#deploying-1password-connect
• Docker Compose
• https://github.com/1Password/connect-helm-charts/tree/main/charts/connect#deploying-1password-connect
• https://github.com/1Password/connect-helm-charts/tree/main/charts/connect#deploying-1password-connect

Docker Compose部署示例

创建docker-compose.yml文件：

yaml
version: '3.8'
services:
  connect-sync:
    image: 1password/connect-sync:latest
    volumes:
      - ./1password-credentials.json:/home/opuser/.op/1password-credentials.json:ro
    environment:
      - OP_SESSION=/home/opuser/.op/1password-credentials.json
      - OP_LOG_LEVEL=info
    restart: always

  connect-api:
    image: 1password/connect-api:latest
    volumes:
      - ./1password-credentials.json:/home/opuser/.op/1password-credentials.json:ro
      # 如需使用自签名TLS证书，添加证书文件挂载
      # - ./tls:/tls:ro
    environment:
      - OP_SESSION=/home/opuser/.op/1password-credentials.json
      - OP_HTTP_PORT=8080
      - OP_LOG_LEVEL=info
      # Let's Encrypt配置示例（二选一）
      # - OP_TLS_USE_LETSENCRYPT=1
      # - OP_TLS_DOMAIN=connect.example.com
      # - OP_HTTPS_PORT=443
      # 自签名证书配置示例（二选一）
      # - OP_TLS_KEY_FILE=/tls/private.key
      # - OP_TLS_CERT_FILE=/tls/cert.pem
    ports:
      - "8080:8080"  # HTTP端口（如启用TLS可省略）
      - "443:443"    # HTTPS端口（如使用Let's Encrypt）
    depends_on:
      - connect-sync
    restart: always

启动服务：

sh
docker-compose up -d

服务器配置

环境变量参数说明

通用参数（适用于两个容器）

仅适用于connect-api容器的参数

TLS配置

使用自签名证书

为connect-api容器配置以下环境变量：

• OP_TLS_KEY_FILE：PEM格式私钥文件绝对路径（如/tls/server.key）
• OP_TLS_CERT_FILE：PEM格式证书文件绝对路径（需包含完整证书链，如/tls/server.crt）

使用Let's Encrypt自动证书

为connect-api容器配置以下环境变量：

• OP_TLS_USE_LETSENCRYPT：设为任意值以启用Let's Encrypt
• OP_TLS_DOMAIN：申请证书的（子）域名，其DNS记录必须指向Connect服务器

注意：Let's Encrypt证书续期要求Connect的HTTPS服务必须通过公网IP的443端口访问，可通过以下方式实现：

• 直接设置OP_HTTPS_PORT=443
• 或通过端口转发将公网443端口流量导向Connect的OP_HTTPS_PORT

相关1Password支持链接

• 完整文档和更多信息
• 使用Docker部署1Password Connect
• 1Password命令行工具入门
• 命令行工具参考指南