企业官网建设流程全解析

密码管理工具私有化部署 Vaultwarden 备份恢复怎么做？别只保存 db.sqlite3

分类：开源项目部署

密码库最怕“看起来备份了，恢复时才发现附件、配置或密钥没带走”。Vaultwarden 小巧，但数据同样敏感。本文不重复基础部署，重点讲哪些文件必须备份、如何做一次恢复演练。

摘要：适合已经自建 Vaultwarden 的用户，目标是做出能恢复的备份，而不只是压缩一个文件。

先判断问题在哪一层

适合：

• 个人或家庭密码管理
• 已有 Docker Compose 部署
• 想把备份同步到另一台机器

不适合：

• 完全不愿意做离线备份
• 团队合规场景需要审计和统一身份管理
• 无法保管管理员 Token 的用户

这一步要先讲清楚，是因为很多服务器教程只告诉你“怎么装”，却不告诉你“该不该装”。如果场景不匹配，后面配置写得再漂亮，也只是把问题推迟到上线之后。

机器规格和成本建议

Vaultwarden 本身很省资源，1 核 2G 足够多数个人使用。预算应该优先给稳定磁盘、快照和异地备份，而不是盲目升级 CPU。附件多、组织多时再考虑更高规格。

我会把 Vaultwarden 放在雨云服务器 rainyun-com的 1 核 2G 机型上，个人和家庭密码库长期运行很轻松。注册填码2026off领 5折，这类配置更适合先稳定跑起来，再按真实负载升级。

部署或处理步骤

1. 准备一台干净的 Ubuntu 22.04 或 Debian 12 服务器，先确认 SSH、时间同步和防火墙状态。
2. 规划目录：/opt/vaultwarden-backup-restore-20260601。配置、数据、备份脚本都放在同一主题目录下，后面迁移更省事。
3. 根据主题放行端口：8080/tcp。游戏和网络服务尤其要分清 TCP/UDP。
4. 先用测试数据跑通，再导入正式数据或邀请其他人使用。

配置文件示例

下面配置用于说明关键项，发布前要按当前官方文档确认镜像版本、环境变量和端口。

services:vaultwarden:image:vaultwarden/server:latestcontainer_name:vaultwardenrestart:unless-stoppedports:-"127.0.0.1:8080:80"environment:DOMAIN:"https://vault.example.com"SIGNUPS_ALLOWED:"false"ADMIN_TOKEN:"change-this-long-token"volumes:-./data:/data

如果需要 HTTPS，可以让应用只监听本机端口，再用 Caddy 反代：

vaultwardenbackuprestore.example.com { encode zstd gzip reverse_proxy 127.0.0.1:8080 }

验证闭环

找一台临时机器恢复备份，能登录、能看到组织、能下载附件、浏览器插件能同步，才算备份有效。

验证时不要只看进程是否存在，至少完成一次真实动作：游戏服要让外部玩家连接，应用要登录并写入一条数据，运维项要确认状态变化真的生效。这样能提前发现端口、权限、反代和路径问题。

排错顺序

只复制 db.sqlite3 不一定够。附件、send 文件、rsa key、配置和 compose.yaml 都会影响恢复。最稳的方式是整个 data 目录连同部署配置一起备份。

排查建议按这个顺序来：

1. 看日志里第一条明确错误，不要只看最后一屏。
2. 查端口监听和云安全组，确认协议没有写错。
3. 检查数据目录权限，尤其是容器用户和宿主机目录映射。
4. 回滚到上一个能工作的配置，再逐项恢复新改动。

维护建议

定时打包 compose.yaml、.env、data，并加密后同步到异地。密码库备份不要裸放在公开网盘。

维护时建议保留一份“最小恢复说明”：需要哪些文件、恢复命令是什么、域名和端口在哪里改。等真正出问题时，人通常没那么冷静，清单比记忆可靠。

总结

Vaultwarden 省资源，但密码数据不省心；备份恢复演练要比“脚本每天成功运行”更重要。