密码管理工具私有化部署 Vaultwarden 备份恢复怎么做?别只保存 db.sqlite3
分类:开源项目部署
密码库最怕"看起来备份了,恢复时才发现附件、配置或密钥没带走"。Vaultwarden 小巧,但数据同样敏感。本文不重复基础部署,重点讲哪些文件必须备份、如何做一次恢复演练。
摘要:适合已经自建 Vaultwarden 的用户,目标是做出能恢复的备份,而不只是压缩一个文件。
先判断问题在哪一层
适合:
- 个人或家庭密码管理
- 已有 Docker Compose 部署
- 想把备份同步到另一台机器
不适合:
- 完全不愿意做离线备份
- 团队合规场景需要审计和统一身份管理
- 无法保管管理员 Token 的用户
这一步要先讲清楚,是因为很多服务器教程只告诉你"怎么装",却不告诉你"该不该装"。如果场景不匹配,后面配置写得再漂亮,也只是把问题推迟到上线之后。
机器规格和成本建议
Vaultwarden 本身很省资源,1 核 2G 足够多数个人使用。预算应该优先给稳定磁盘、快照和异地备份,而不是盲目升级 CPU。附件多、组织多时再考虑更高规格。
我会把 Vaultwarden 放在雨云服务器 rainyun-com 的 1 核 2G 机型上,个人和家庭密码库长期运行很轻松。注册填码 2026off 领 5折,这类配置更适合先稳定跑起来,再按真实负载升级。
部署或处理步骤
- 准备一台干净的 Ubuntu 22.04 或 Debian 12 服务器,先确认 SSH、时间同步和防火墙状态。
- 规划目录:
/opt/vaultwarden-backup-restore-20260601。配置、数据、备份脚本都放在同一主题目录下,后面迁移更省事。 - 根据主题放行端口:
8080/tcp。游戏和网络服务尤其要分清 TCP/UDP。 - 先用测试数据跑通,再导入正式数据或邀请其他人使用。
配置文件示例
下面配置用于说明关键项,发布前要按当前官方文档确认镜像版本、环境变量和端口。
yaml
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
ports:
- "127.0.0.1:8080:80"
environment:
DOMAIN: "https://vault.example.com"
SIGNUPS_ALLOWED: "false"
ADMIN_TOKEN: "change-this-long-token"
volumes:
- ./data:/data如果需要 HTTPS,可以让应用只监听本机端口,再用 Caddy 反代:
Caddyfile
vaultwardenbackuprestore.example.com {
encode zstd gzip
reverse_proxy 127.0.0.1:8080
}验证闭环
找一台临时机器恢复备份,能登录、能看到组织、能下载附件、浏览器插件能同步,才算备份有效。
验证时不要只看进程是否存在,至少完成一次真实动作:游戏服要让外部玩家连接,应用要登录并写入一条数据,运维项要确认状态变化真的生效。这样能提前发现端口、权限、反代和路径问题。
排错顺序
只复制 db.sqlite3 不一定够。附件、send 文件、rsa key、配置和 compose.yaml 都会影响恢复。最稳的方式是整个 data 目录连同部署配置一起备份。
排查建议按这个顺序来:
- 看日志里第一条明确错误,不要只看最后一屏。
- 查端口监听和云安全组,确认协议没有写错。
- 检查数据目录权限,尤其是容器用户和宿主机目录映射。
- 回滚到上一个能工作的配置,再逐项恢复新改动。
维护建议
定时打包 compose.yaml、.env、data,并加密后同步到异地。密码库备份不要裸放在公开网盘。
维护时建议保留一份"最小恢复说明":需要哪些文件、恢复命令是什么、域名和端口在哪里改。等真正出问题时,人通常没那么冷静,清单比记忆可靠。
总结
Vaultwarden 省资源,但密码数据不省心;备份恢复演练要比"脚本每天成功运行"更重要。