Aģents un komunikācija

Viena komanda. Pilnībā droši.

CASTOVIA aģents tiek instalēts mazāk nekā 60 sekundēs, drošību apstrādā automātiski un sazinās ar CASTOVIA Cloud pa šifrētiem kanāliem. Nav manuālu ugunsmūra noteikumu, nav SSH atslēgu, nav VPN.

Instalācijas komandas skaidrojums

Precīzi, kas notiek, kad Linux serverī palaižat viena rindiņas instalētāju.

Ko dara komanda

Viena rindiņas instalēšanas komanda, ko nokopējat no CASTOVIA administratora paneļa, jūsu Linux serverī veic šādas darbības:

Lejupielādē CASTOVIA aģenta bināro failu (~15 MB) no oficiālā CDN

Pārbauda binārā faila parakstu (SHA-256 + GPG), lai novērstu manipulācijas

Izveido speciālu sistēmas lietotāju: castovia-agent (bez pieteikšanās čaulas, bez sudo)

Instalē bināro failu uz /opt/castovia/agent

Izveido konfigurācijas direktoriju /etc/castovia/ ar ierobežotām atļaujām (0700)

Ieraksta servera žetonu (unikāls katram mezglam) /etc/castovia/token.conf

Reģistrē aģentu kā systemd pakalpojumu: castovia-agent.service

Palaiž pakalpojumu un iespējo automātisku startu pie palaišanas

Veic pirmo rokasspiedienu ar CASTOVIA Cloud, lai reģistrētu mezglu

Faktiskā komanda

Komanda, ko redzat savā administratora panelī, izskatās šādi:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN ir unikāls, vienreiz lietojams žetons, kas ģenerēts katram mezglam. Ja tas netiek izmantots, pēc 24 stundām tas beidzas.

Ko aģents NEDARA

Skaidras robežas. Aģenta darbības joma ir apzināti ierobežota.

Neatver nekādus ienākošos portus jūsu serverī

Nemaina jūsu ugunsmūra noteikumus (iptables, nftables, firewalld)

Neinstalē un nemaina SSH atslēgas

Nepiekļūst citām lietotnēm jūsu serverī

Nesūta straumju saturu caur CASTOVIA serveriem (straumes paliek JŪSU tīklā)

Nesaglabā abonentu personas datus mezglā

Neprasa VPN vai īpašu tīkla konfigurāciju

Nepaliek darboties kā root pēc sākotnējās instalēšanas

Drošība — iebūvēta, nevis pievienota vēlāk

Katrs drošības pasākums ir automātisks. Manuāla konfigurācija nav nepieciešama.

Servera žetona autentifikācija

automātiski

Katrs mezgls saņem unikālu, kriptogrāfiski nejaušu servera žetonu (256 bitu). Šis žetons tiek ģenerēts CASTOVIA administratorā, kad izveidojat mezglu. Tas tiek izmantots vienu reizi reģistrācijas laikā un pēc tam aizstāts ar rotējošu TLS klienta sertifikātu.

TLS 1.3 šifrēšana

automātiski

Visa saziņa starp aģentu un CASTOVIA Cloud izmanto TLS 1.3. Aģents validē CASTOVIA sertifikātu ķēdi pret piespraustu root CA — nav uzticēšanās sistēmas sertifikātu krātuvei. Man-in-the-middle uzbrukumi nav iespējami.

Ugunsmūra prasības

automātiski

Aģentam nepieciešams tikai izejošs HTTPS (ports 443) uz CASTOVIA Cloud. Nav jāatver ienākošie porti. Jūsu servera ugunsmūra noteikumi netiek aiztikti — aģents nemaina iptables, nftables vai firewalld.

Darbības laikā root piekļuve nav nepieciešama

automātiski

Aģents darbojas kā speciāls lietotājs bez paaugstinātām privilēģijām (castovia-agent). Root tas nepieciešams tikai instalācijas laikā (lai izveidotu systemd pakalpojumu). Darbības laikā tas darbojas ar minimālām atļaujām — lasīšanas piekļuve straumju avotiem, rakstīšanas piekļuve savam kešatmiņas direktorijam.

Automātiska sertifikātu rotācija

automātiski

Klienta sertifikāti tiek rotēti ik pēc 7 dienām. Aģents atjaunošanu veic caurspīdīgi. Ja sertifikāts beidzas (piem., serveris bija bezsaistē), aģents izmanto drošu atkārtotas reģistrācijas plūsmu, kurai nepieciešams apstiprinājums CASTOVIA administratorā.

Veselības uzraudzība un pašatveseļošanās

automātiski

Aģents uzrauga savu veselību. Ja tas avarē, systemd to restartē 5 sekunžu laikā. Ja tas nevar sasniegt CASTOVIA Cloud, tas turpina apkalpot kešēto konfigurāciju un rindā uzkrāj metriku vēlākai nosūtīšanai.

Komunikācijas protokols

Kā dati plūst starp jūsu serveri un CASTOVIA Cloud.

CASTOVIA Cloud → Aģents (konfigurācijas push)

Straumju konfigurācijas (avota URL, pārkodēšanas profili, ierakstīšanas grafiki)

Nginx konfigurācijas fragmenti mediju apkalpošanai

Catch-up un timeshift noteikumi

EPG dati un kanālu logotipi

Pakotņu/pušķu piešķīrumi

Abonentu tiesību atjauninājumi

Tehniskais: Konfigurācija tiek piegādāta kā parakstīti JSON dati. Aģents pirms piemērošanas validē katru datu kopu. Nav neapstrādāta SQL, nav čaulas komandu — tikai strukturēta konfigurācija.

Aģents → CASTOVIA Cloud (telemetrija)

Servera veselība: CPU, RAM, diska lietojums, tīkla I/O

Straumju statuss: aktīvās straumes, bitreits, kļūdu līmenis

Ierakstu statuss: aktīvie ieraksti, izmantotā krātuve, pabeigšanas statuss

FFmpeg uzdevumu rezultāti: pārkodēšanas pabeigšana, kļūdas, izvades failu izmēri

Skatītāju savienojumu skaits (anonīms apkopojums — nav personas datu)

Aģenta versija un atjauninājumu pieejamība

Tehniskais: Telemetrija tiek sūtīta ik pēc 30 sekundēm, izmantojot HTTPS POST. Datu pakete ir saspiesta (gzip) un šifrēta. Vidējais izmērs: 2–5 KB katrā intervālā.

Tīkla kopsavilkums

Aspekts	Detaļa
Protokols	HTTPS (TLS 1.3) ar sertifikātu piespraušanu
Izejošais ports	443 (tikai HTTPS)
Ienākošie porti	CASTOVIA neprasa nevienu
Pārraide	Ik pēc 30 sekundēm (2–5 KB saspiesti)
Autentifikācija	Rotējoši TLS klienta sertifikāti (7 dienu rotācija)
Joslas platums	< 1 MB/stundā pārvaldības trafikam
Bezsaistes uzvedība	Apkalpo kešēto konfigurāciju, rindā uzkrāj telemetriju, automātiski atkārtoti savienojas
Straumju trafiks	Nekad netiek maršrutēts caur CASTOVIA — paliek jūsu tīklā

Tīra atinstalēšana

Ja noņemat mezglu, aģents pilnībā notīra pēdas:

sudo castovia-agent uninstall --purge

Aptur un noņem systemd pakalpojumu

Dzēš bināro failu no /opt/castovia/

Noņem visu konfigurāciju no /etc/castovia/

Noņem castovia-agent sistēmas lietotāju

Atsauc klienta sertifikātu CASTOVIA Cloud

Nav atlikušu failu, procesu vai cron darbu

Administratora panelis Servera iestatīšana Drošība Kā tas darbojas