Agent ja suhtlus

Üks käsk. Täielikult turvatud.

CASTOVIA agent paigaldub vähem kui 60 sekundiga, tegeleb turvalisusega automaatselt ja suhtleb CASTOVIA Cloudiga krüpteeritud kanalite kaudu. Pole vaja käsitsi tulemüüri reegleid, SSH-võtmeid ega VPN-i.

Installimiskäsu selgitus

Täpselt, mis juhtub, kui käivitate üherealise paigaldaja oma Linuxi serveris.

Mida käsk teeb

Üherealine installikäsk, mille kopeerite CASTOVIA adminpaneelist, teeb teie Linuxi serveris järgmised sammud:

Laadib ametlikust CDN-ist alla CASTOVIA agendi binaarfaili (~15 MB)

Kontrollib binaarfaili allkirja (SHA-256 + GPG), et vältida rikkumist

Loob spetsiaalse süsteemkasutaja: castovia-agent (ilma sisselogimiskestata, ilma sudo-ta)

Paigaldab binaarfaili kausta /opt/castovia/agent

Loob konfiguratsioonikataloogi /etc/castovia/ piiratud õigustega (0700)

Kirjutab serveritokeni (unikaalne iga sõlme kohta) faili /etc/castovia/token.conf

Registreerib agendi systemd teenusena: castovia-agent.service

Käivitab teenuse ja lubab automaatkäivituse alglaadimisel

Teeb CASTOVIA Cloudiga esimese käepigistuse sõlme registreerimiseks

Tegelik käsk

Käsk, mida näete oma adminpaneelis, näeb välja selline:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN on unikaalne ühekordne token, mis genereeritakse iga sõlme jaoks. Kui seda ei kasutata, aegub see 24 tunni pärast.

Mida agent EI tee

Selged piirid. Agendi ulatus on tahtlikult piiratud.

Ei ava teie serveris ühtegi sissetulevat porti

Ei muuda teie tulemüüri reegleid (iptables, nftables, firewalld)

Ei paigalda ega muuda SSH-võtmeid

Ei pääse ligi teistele rakendustele teie serveris

Ei saada voogude sisu läbi CASTOVIA serverite (vood jäävad TEIE võrku)

Ei salvesta sõlmele tellijate isikuandmeid

Ei nõua VPN-i ega erilist võrguseadistust

Ei tööta pärast esmast paigaldust root-kasutajana

Turvalisus — sisse ehitatud, mitte hiljem lisatud

Iga turvameede on automaatne. Käsitsi seadistust pole vaja.

Serveritokeni autentimine

automaatne

Iga sõlm saab unikaalse, krüptograafiliselt juhusliku serveritokeni (256-bit). See token genereeritakse CASTOVIA adminis, kui loote sõlme. Seda kasutatakse registreerimisel ühe korra ja seejärel asendatakse see roteeruva TLS kliendisertifikaadiga.

TLS 1.3 krüptimine

automaatne

Kogu suhtlus agendi ja CASTOVIA Cloudi vahel kasutab TLS 1.3-i. Agent valideerib CASTOVIA sertifikaaditaristu kinnitatud root CA vastu — süsteemi sertifikaadipoe usaldusest ei sõltuta. Man-in-the-middle rünnakud ei ole võimalikud.

Tulemüüri nõuded

automaatne

Agent vajab CASTOVIA Cloudiga ainult väljaminevat HTTPS-i (port 443). Sissetulevaid porte pole vaja avada. Teie serveri tulemüüri reegleid ei puudutata — agent ei muuda iptablesi, nftablesi ega firewalld’i.

Tööajal root-juurdepääsu pole vaja

automaatne

Agent töötab spetsiaalse privileegideta kasutajana (castovia-agent). Root-õigusi on vaja ainult paigaldamise ajal (systemd teenuse loomiseks). Tööajal tegutseb see minimaalsete õigustega — lugemisõigus voogude allikatele, kirjutamisõigus oma vahemälukataloogi.

Automaatne sertifikaadi rotatsioon

automaatne

Kliendisertifikaadid roteeruvad iga 7 päeva järel. Agent tegeleb uuendamisega läbipaistvalt. Kui sertifikaat aegub (nt server oli võrguühenduseta), kasutab agent turvalist uuesti registreerimise voogu, mis nõuab kinnitust CASTOVIA adminis.

Tervise jälgimine ja isetervenemine

automaatne

Agent jälgib iseenda tervist. Kui see jookseb kokku, taaskäivitab systemd selle 5 sekundi jooksul. Kui see ei pääse CASTOVIA Cloudi ligi, jätkab see vahemällu salvestatud konfiguratsiooni teenindamist ja järjekorda pannakse mõõdikud hilisemaks edastamiseks.

Suhtlusprotokoll

Kuidas andmed liiguvad teie serveri ja CASTOVIA Cloudi vahel.

CASTOVIA Cloud → Agent (konfiguratsiooni push)

Voogude konfiguratsioonid (allika URL-id, transkodeerimisprofiilid, salvestusgraafikud)

Nginxi konfiguratsioonilõigud meedia edastamiseks

Catch-up ja timeshift reeglid

EPG-andmed ja kanali logod

Pakettide/bukettide määrangud

Tellijate õiguste uuendused

Tehniline: Konfiguratsioon edastatakse signeeritud JSON payloadidena. Agent valideerib iga payload’i enne rakendamist. Ei mingit toorest SQL-i, ei shell-käske — ainult struktureeritud konfiguratsioon.

Agent → CASTOVIA Cloud (telemeetria)

Serveri tervis: CPU, RAM, ketta kasutus, võrgu I/O

Voogude olek: aktiivsed vood, bitikiirus, veamäärad

Salvestuste olek: aktiivsed salvestused, kasutatud ruum, lõpetamise olek

FFmpeg tööde tulemused: transkodeerimise lõpetamine, vead, väljundfailide suurused

Vaatajate ühenduste arvud (anonüümne koond — isikuandmeid ei ole)

Agendi versioon ja uuenduse saadavus

Tehniline: Telemeetria saadetakse iga 30 sekundi järel HTTPS POST-i kaudu. Payload on tihendatud (gzip) ja krüpteeritud. Keskmine suurus: 2–5 KB intervalli kohta.

Võrgu kokkuvõte

Aspekt	Üksikasjad
Protokoll	HTTPS (TLS 1.3) koos sertifikaadi kinnitusega
Väljaminev port	443 (ainult HTTPS)
Sissetulevad pordid	CASTOVIA ei vaja ühtegi
Südamelöök	Iga 30 sekundi järel (2–5 KB tihendatud)
Autentimine	Roteeruvad TLS kliendisertifikaadid (7-päevane rotatsioon)
Ribalaius	< 1 MB/tunnis haldusliikluse jaoks
Võrguühenduseta käitumine	Teenindab vahemällu salvestatud konfiguratsiooni, seab telemeetria järjekorda, ühendub automaatselt uuesti
Voogliiklus	Ei suunata kunagi läbi CASTOVIA — jääb teie võrku

Puhas eemaldamine

Kui eemaldate sõlme, puhastab agent kõik täielikult ära:

sudo castovia-agent uninstall --purge

Peatab ja eemaldab systemd teenuse

Kustutab binaarfaili kaustast /opt/castovia/

Eemaldab kogu konfiguratsiooni kaustast /etc/castovia/

Eemaldab castovia-agent süsteemkasutaja

Tühistab kliendisertifikaadi CASTOVIA Cloudis

Ei jää alles faile, protsesse ega cron-töid

Admini juhtpaneel Serveri seadistus Turvalisus Kuidas see töötab