Клиентская инструкция: работа с AIaaS через чат-интерфейс OpenWebUI
Статус: черновик для проверки ITGLOBAL.COM
Версия: 2026-07-01
Сервис: AIaaS / AInergy API Gateway
1. Назначение
AIaaS обычно предоставляется как API-доступ: клиент получает Base URL, API key и список доступных моделей. Такой формат удобен разработчикам, но не всегда удобен офисным пользователям.
Если пользователю нужен привычный формат диалогового окна, можно использовать OpenWebUI как чат-интерфейс поверх AIaaS API. Пользователь работает через браузер или desktop-приложение: выбирает модель, пишет запрос обычным языком и получает ответ в чате.
В этом сценарии:
- AIaaS остается удаленным API-сервисом;
- OpenWebUI выполняет роль пользовательского интерфейса;
- пользователю не нужно работать в IDE, писать код или запускать API-запросы вручную.
2. Что понадобится
От ITGLOBAL.COM:
- Base URL AIaaS API:
<AIAAS_BASE_URL> - API key:
<AIAAS_API_KEY> - список доступных моделей:
<MODEL_ID_1>,<MODEL_ID_2>,<MODEL_ID_3> - согласованные правила использования: квоты, доступные модели, пользователи, подразделения, требования к обработке данных
Со стороны клиента:
- рабочая станция или сервер для OpenWebUI;
- доступ пользователей к интерфейсу OpenWebUI;
- администратор, который выполнит первичную настройку;
- внутренние правила обработки персональных, финансовых и коммерческих данных.
3. Какой вариант установки выбрать
Есть два основных варианта.
Вариант A. OpenWebUI Desktop для одного пользователя
Подходит, если:
- нужен быстрый запуск на рабочей станции;
- пользователь работает сам за своим компьютером;
- не требуется централизованное управление пользователями;
- ИТ-служба разрешает установку desktop-приложений.
Особенности:
- не требуется Docker;
- подходит для Windows, macOS и Linux;
- проще для обычного пользователя;
- хуже подходит для централизованного корпоративного доступа.
Вариант B. OpenWebUI в Docker
Подходит, если:
- OpenWebUI должен быть доступен нескольким пользователям;
- нужно централизованно хранить API key;
- нужно управлять учетными записями пользователей;
- OpenWebUI размещается на сервере или выделенной рабочей станции.
Особенности:
- требуется Docker;
- администратор управляет обновлениями и доступом;
- пользователи открывают веб-интерфейс по ссылке;
- для серверного размещения нужно продумать доступ, TLS и сетевую защиту.
Для корпоративного сценария обычно предпочтителен вариант B: один OpenWebUI на сервере или выделенной рабочей станции, а пользователи работают через браузер.
4. Установка на Windows
4.1. Быстрый вариант: OpenWebUI Desktop
Подходит для персонального использования на Windows 10/11.
Общий порядок:
- Администратор или пользователь скачивает установщик OpenWebUI Desktop для Windows с официального репозитория OpenWebUI Desktop. Для обычных рабочих станций чаще используется Windows x64; для ARM-устройств нужен отдельный Windows ARM64-установщик.
- Устанавливает приложение.
- Запускает OpenWebUI Desktop.
- В настройках подключения добавляет AIaaS как OpenAI-compatible provider.
- Проверяет тестовый запрос.
Этот вариант не требует Docker Desktop и WSL, поэтому проще для пользователя, которому нужен привычный чат-интерфейс.
Ограничение: для централизованного сценария, где несколько сотрудников должны работать через единый корпоративный контур и общий администраторский контроль, лучше использовать серверный OpenWebUI в Docker.
4.2. Корпоративный вариант: Docker Desktop на Windows 10/11
Подходит для рабочей станции администратора или небольшой команды, если организация разрешает Docker Desktop.
Что важно проверить до установки:
- версия Windows поддерживается Docker Desktop;
- включена аппаратная виртуализация в BIOS/UEFI;
- установлен или доступен WSL 2 backend;
- у организации есть право использовать Docker Desktop по условиям лицензирования Docker;
- пользователь имеет права на установку или ИТ-служба выполняет установку централизованно.
Общий порядок:
- Установить Docker Desktop for Windows.
- При установке выбрать WSL 2 backend, если это стандартный вариант для организации.
- Перезагрузить рабочую станцию, если установщик попросит.
- Запустить Docker Desktop и дождаться статуса Running.
- Открыть PowerShell.
- Запустить OpenWebUI:
docker run -d `
--name open-webui `
-p 3000:8080 `
-v open-webui:/app/backend/data `
--restart unless-stopped `
ghcr.io/open-webui/open-webui:main
- Открыть в браузере:
http://localhost:3000
В примерах OpenWebUI также встречается --restart always. В этой инструкции используется --restart unless-stopped: контейнер будет перезапускаться после сбоя или перезагрузки, но не будет автоматически стартовать после ручной остановки администратором.
Если OpenWebUI должен быть доступен другим пользователям в сети, вместо localhost пользователи должны открывать адрес рабочей станции или DNS-имя, например:
http://<WINDOWS_HOSTNAME>:3000
Для постоянной эксплуатации не рекомендуется оставлять сервис открытым без сетевых ограничений. Лучше использовать внутренний DNS, HTTPS/reverse proxy и ограничение доступа на firewall.
4.3. Windows Server
Для Windows Server сценарий сложнее.
Docker Desktop официально ориентирован на пользовательские версии Windows и не является типовым вариантом для Windows Server. Если нужен стабильный серверный OpenWebUI, обычно проще и надежнее развернуть отдельную Linux VM с Docker Engine и разместить OpenWebUI там.
Рекомендуемый вариант для серверного размещения:
Linux VM -> Docker Engine -> OpenWebUI container -> доступ пользователей через браузер
5. Установка на Linux / Ubuntu
5.1. Когда Linux-сервер без GUI
На Ubuntu Server обычно нет графического интерфейса. Это нормально: OpenWebUI запускается как веб-сервис, а настройка выполняется из браузера на рабочем компьютере администратора.
Важно понимать:
localhostна сервере означает сам сервер;- если администратор открывает браузер на своем ноутбуке,
http://localhost:3000будет указывать на ноутбук, а не на сервер; - для доступа к OpenWebUI на сервере нужно использовать IP-адрес или DNS-имя сервера;
- альтернативно можно использовать SSH-туннель.
Пример:
http://<SERVER_IP>:3000
или:
http://openwebui.company.local:3000
5.2. Установка Docker Engine на Ubuntu
Ниже пример для Ubuntu Server. Команды выполняются на сервере.
- Обновить пакеты и установить зависимости:
sudo apt update
sudo apt install -y ca-certificates curl
- Добавить GPG key Docker:
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc
- Добавить Docker apt repository:
sudo tee /etc/apt/sources.list.d/docker.sources <<EOF
Types: deb
URIs: https://download.docker.com/linux/ubuntu
Suites: $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}")
Components: stable
Architectures: $(dpkg --print-architecture)
Signed-By: /etc/apt/keyrings/docker.asc
EOF
- Установить Docker:
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
- Проверить, что Docker запущен:
sudo systemctl status docker
Если Docker не запущен:
sudo systemctl start docker
sudo systemctl enable docker
- Проверить тестовым контейнером:
sudo docker run hello-world
5.3. Запуск OpenWebUI на Ubuntu
Для внутреннего доступа по IP-адресу сервера:
sudo docker run -d \
--name open-webui \
-p 3000:8080 \
-v open-webui:/app/backend/data \
--restart unless-stopped \
ghcr.io/open-webui/open-webui:main
Проверка на сервере:
curl -I http://127.0.0.1:3000
Доступ с рабочей станции администратора:
http://<SERVER_IP>:3000
Если доступ извне сервера не работает, проверить:
- открыт ли порт
3000на firewall; - разрешен ли доступ между рабочей станцией и сервером;
- не блокирует ли сеть WebSocket-соединения;
- корректно ли задано правило публикации порта Docker
-p 3000:8080.
5.4. Более безопасный режим через SSH-туннель
Если OpenWebUI нужен только администратору для настройки и не должен быть сразу доступен по сети, можно привязать порт только к localhost сервера:
sudo docker run -d \
--name open-webui \
-p 127.0.0.1:3000:8080 \
-v open-webui:/app/backend/data \
--restart unless-stopped \
ghcr.io/open-webui/open-webui:main
Затем с рабочей станции администратора открыть SSH-туннель:
ssh -L 3000:127.0.0.1:3000 <USER>@<SERVER_IP>
После этого открыть в браузере на рабочей станции администратора:
http://localhost:3000
В этом случае localhost в браузере администратора работает через SSH-туннель и перенаправляется на OpenWebUI на сервере.
5.5. Рекомендация для постоянной эксплуатации на Linux
Для постоянной эксплуатации рекомендуется:
- использовать DNS-имя вместо IP-адреса;
- закрыть прямой доступ к порту
3000из недоверенных сетей; - опубликовать сервис через reverse proxy с HTTPS;
- включить корпоративную авторизацию, если она используется;
- ограничить самостоятельную регистрацию пользователей;
- регулярно обновлять контейнер OpenWebUI;
- делать резервную копию Docker volume
open-webui, если в нем хранятся важные настройки и история.
6. Установка на macOS
6.1. Быстрый вариант: OpenWebUI Desktop
Подходит для персонального использования на Mac.
Общий порядок:
- Скачать OpenWebUI Desktop для macOS: отдельно для Apple Silicon или Intel. Для OpenWebUI Desktop требуется macOS 12 или новее.
- Установить приложение.
- Запустить OpenWebUI Desktop.
- Добавить AIaaS как OpenAI-compatible provider.
- Проверить тестовый запрос.
Этот вариант не требует Docker Desktop и проще для обычного пользователя.
6.2. Docker Desktop на macOS
Подходит для администратора, тестового стенда или небольшой команды.
Что важно проверить:
- поддерживаемая версия macOS;
- минимум 4 GB RAM для Docker Desktop, но для комфортной работы лучше больше;
- правильный установщик: Apple Silicon или Intel;
- условия лицензирования Docker Desktop для организации.
Общий порядок:
- Установить Docker Desktop for Mac.
- Запустить Docker Desktop и дождаться, пока Docker Engine будет готов.
- Открыть Terminal.
- Запустить OpenWebUI:
docker run -d \
--name open-webui \
-p 3000:8080 \
-v open-webui:/app/backend/data \
--restart unless-stopped \
ghcr.io/open-webui/open-webui:main
- Открыть в браузере:
http://localhost:3000
Если доступ нужен другим пользователям в локальной сети, использовать IP-адрес или DNS-имя Mac:
http://<MAC_HOSTNAME>:3000
Для постоянной эксплуатации лучше использовать отдельный сервер или Linux VM, а не рабочий Mac пользователя.
7. Первичная настройка OpenWebUI
- Откройте OpenWebUI в браузере или desktop-приложении.
- Создайте учетную запись администратора.
- Отключите самостоятельную регистрацию пользователей, если сервис доступен не только в доверенной сети.
- Создайте пользователей или настройте корпоративную авторизацию, если она используется.
- Подключите AIaaS как OpenAI-compatible provider.
- Проверьте тестовый запрос.
- После проверки передайте пользователям ссылку на интерфейс и краткую памятку по безопасной работе.
8. Подключение AIaaS как OpenAI-compatible provider
Откройте:
Admin Settings -> Connections -> OpenAI -> Add Connection
Заполните параметры:
| Поле | Значение |
|---|---|
| URL / Base URL | <AIAAS_BASE_URL>/v1 |
| API Key | <AIAAS_API_KEY> |
| Model IDs / Filter | <MODEL_ID_1>, <MODEL_ID_2> |
| Connection status | Enabled |
После сохранения выберите модель в списке моделей и отправьте тестовый запрос.
В интерфейсе OpenWebUI поле может называться просто URL. В него нужно указать Base URL AIaaS с суффиксом /v1, если иной путь не выдан ITGLOBAL.COM.
Пример тестового запроса:
Напиши короткое письмо клиенту: мы получили запрос и вернемся с расчетом завтра.
Если список моделей не появился автоматически, добавьте Model IDs вручную в настройках подключения. Это нормальный сценарий для некоторых OpenAI-compatible endpoint, если endpoint /v1/models недоступен или работает нестандартно.
9. Как пользоваться обычному пользователю
- Откройте ссылку на OpenWebUI или запустите OpenWebUI Desktop.
- Войдите под своей учетной записью.
- Выберите нужную модель.
- Напишите вопрос или задачу обычным языком.
- При необходимости уточните ответ следующим сообщением.
Примеры запросов:
Сократи этот текст до 5 пунктов.
Проверь письмо клиенту на деловой стиль и убери лишнюю эмоциональность.
Сделай краткое резюме договора. Отдельно выдели сроки, суммы и обязательства сторон.
Составь черновик ответа клиенту: мы приняли документы, проверим и вернемся с комментариями.
10. Безопасность API key
API key нельзя:
- отправлять в мессенджерах без защищенного канала;
- публиковать в тикетах, документах, скриншотах и чатах;
- вставлять в пользовательские промпты;
- передавать подрядчикам без согласования;
- хранить в открытом виде в публичных репозиториях.
Рекомендуется:
- хранить API key только у администратора OpenWebUI;
- не выдавать API key каждому пользователю отдельно, если пользователи работают через общий корпоративный OpenWebUI;
- разграничить доступ через учетные записи OpenWebUI;
- при увольнении сотрудника отключать его учетную запись;
- при подозрении на утечку перевыпустить API key.
11. Работа с персональными и конфиденциальными данными
Перед отправкой в LLM пользователь должен понимать, какие данные можно передавать в AIaaS.
Нельзя отправлять без согласованного режима обработки:
- паспортные данные;
- персональные данные сотрудников и клиентов;
- банковские реквизиты физлиц;
- коммерческие тайны;
- закрытые договоры;
- внутренние финансовые документы;
- логины, пароли, токены, API keys.
Если задача требует обработки таких данных, нужно использовать согласованный контур, настройки PII-защиты или отдельный регламент клиента.
12. Что делать при ошибках
| Ошибка | Возможная причина | Что проверить |
|---|---|---|
| OpenWebUI не открывается | контейнер не запущен или порт недоступен | docker ps, публикация порта, firewall |
localhost не работает с ноутбука администратора | OpenWebUI запущен на сервере, а localhost указывает на ноутбук | использовать http://<SERVER_IP>:3000 или SSH-туннель |
| 401 Unauthorized | неверный или отозванный API key | проверить API key, пробелы, срок действия |
| 403 Forbidden | нет прав на модель или endpoint | проверить доступную модель и права потребителя |
| 404 Not Found | неверный Base URL или путь | проверить, что используется <AIAAS_BASE_URL>/v1 |
| 429 Too Many Requests | превышен лимит или квота | подождать, уменьшить частоту запросов, проверить квоту |
| 500/502/503 | временная ошибка сервиса или модели | повторить позже, проверить статус сервиса, обратиться в поддержку |
| Модель не отображается | /v1/models не отдает список | добавить Model ID вручную |
| Ответ обрывается | слишком малый лимит ответа | увеличить лимит ответа, если настройка доступна |
| Чат зависает или не стримит ответ | сеть блокирует WebSocket или long-lived connections | проверить proxy, firewall, WebSocket support |
13. Минимальная памятка для пользователя
Можно:
- просить сократить, переписать или структурировать текст;
- готовить черновики писем;
- анализировать открытые или разрешенные документы;
- задавать уточняющие вопросы;
- просить варианты формулировок.
Нельзя:
- вставлять API key в чат;
- отправлять пароли и токены;
- загружать персональные данные без согласованного режима;
- считать ответ LLM юридически или финансово окончательным без проверки специалиста;
- использовать LLM как единственный источник принятия критичных решений.
14. Что нужно подтвердить перед передачей инструкции клиенту
- фактический Base URL AIaaS;
- список Model IDs;
- доступность endpoint
/v1/models; - требования клиента к хранению истории чатов;
- правила обработки персональных и конфиденциальных данных;
- вариант размещения: desktop-приложение, рабочая станция, Linux-сервер или отдельная VM;
- кто администрирует OpenWebUI и кто имеет доступ к API key.