Agent i komunikacja

Jedno polecenie. Pełne zabezpieczenie.

Agent CASTOVIA instaluje się w mniej niż 60 sekund, automatycznie obsługuje bezpieczeństwo i komunikuje się z CASTOVIA Cloud przez szyfrowane kanały. Bez ręcznych reguł zapory, bez kluczy SSH, bez VPN.

Wyjaśnienie polecenia instalacyjnego

Dokładnie co dzieje się po uruchomieniu instalatora w jednej linii na serwerze Linux.

Co robi polecenie

Jednoliniowe polecenie instalacyjne, które kopiujesz z panelu administracyjnego CASTOVIA, wykonuje na Twoim serwerze Linux następujące kroki:

Pobiera binarny plik agenta CASTOVIA (~15 MB) z oficjalnego CDN

Weryfikuje podpis binarny (SHA-256 + GPG), aby zapobiec manipulacji

Tworzy dedykowanego użytkownika systemowego: castovia-agent (bez powłoki logowania, bez sudo)

Instaluje plik binarny do /opt/castovia/agent

Tworzy katalog konfiguracji /etc/castovia/ z ograniczonymi uprawnieniami (0700)

Zapisuje token serwera (unikalny dla każdego węzła) do /etc/castovia/token.conf

Rejestruje agenta jako usługę systemd: castovia-agent.service

Uruchamia usługę i włącza autostart przy starcie systemu

Wykonuje pierwszy handshake z CASTOVIA Cloud, aby zarejestrować węzeł

Rzeczywiste polecenie

Polecenie, które widzisz w panelu administracyjnym, wygląda tak:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN to unikalny, jednorazowy token generowany dla każdego węzła. Wygasa po 24 godzinach, jeśli nie zostanie użyty.

Czego agent NIE robi

Jasne granice. Zakres agenta jest celowo ograniczony.

Nie otwiera żadnych portów przychodzących na Twoim serwerze

Nie modyfikuje reguł zapory (iptables, nftables, firewalld)

Nie instaluje ani nie modyfikuje kluczy SSH

Nie uzyskuje dostępu do innych aplikacji na Twoim serwerze

Nie przesyła treści streamów przez serwery CASTOVIA (streamy pozostają w TWOJEJ sieci)

Nie przechowuje danych osobowych subskrybentów na węźle

Nie wymaga VPN ani specjalnej konfiguracji sieci

Nie działa jako root po początkowej instalacji

Bezpieczeństwo — wbudowane, nie dołączane na siłę

Każdy środek bezpieczeństwa działa automatycznie. Nie wymaga ręcznej konfiguracji.

Uwierzytelnianie tokenem serwera

automatycznie

Każdy węzeł otrzymuje unikalny, kryptograficznie losowy token serwera (256-bit). Token jest generowany w panelu administracyjnym CASTOVIA podczas tworzenia węzła. Używa się go jednorazowo podczas rejestracji, a następnie zastępuje rotowanym certyfikatem klienta TLS.

Szyfrowanie TLS 1.3

automatycznie

Cała komunikacja między agentem a CASTOVIA Cloud wykorzystuje TLS 1.3. Agent weryfikuje łańcuch certyfikatów CASTOVIA względem przypiętego root CA — bez zaufania do systemowego magazynu certyfikatów. Ataki typu man-in-the-middle nie są możliwe.

Wymagania dotyczące zapory

automatycznie

Agent potrzebuje tylko ruchu wychodzącego HTTPS (port 443) do CASTOVIA Cloud. Nie trzeba otwierać żadnych portów przychodzących. Reguły zapory Twojego serwera pozostają nietknięte — agent nie modyfikuje iptables, nftables ani firewalld.

Brak wymagania dostępu root w czasie działania

automatycznie

Agent działa jako dedykowany użytkownik bez uprawnień (castovia-agent). Uprawnień root potrzebuje tylko podczas instalacji (aby utworzyć usługę systemd). W czasie działania korzysta z minimalnych uprawnień — odczyt źródeł streamów, zapis do własnego katalogu cache.

Automatyczna rotacja certyfikatów

automatycznie

Certyfikaty klienta są rotowane co 7 dni. Agent obsługuje odnawianie w sposób przezroczysty. Jeśli certyfikat wygaśnie (np. serwer był offline), agent używa bezpiecznego procesu ponownej rejestracji, który wymaga zatwierdzenia w panelu administracyjnym CASTOVIA.

Monitoring stanu i autonaprawa

automatycznie

Agent monitoruje własną kondycję. Jeśli się zawiesi, systemd uruchamia go ponownie w ciągu 5 sekund. Jeśli nie może połączyć się z CASTOVIA Cloud, nadal obsługuje buforowaną konfigurację i kolejkowanie metryk do późniejszej wysyłki.

Protokół komunikacji

Jak przepływają dane między Twoim serwerem a CASTOVIA Cloud.

CASTOVIA Cloud → Agent (Przesył konfiguracji)

Konfiguracje streamów (URL źródeł, profile transkodowania, harmonogramy nagrań)

Fragmenty konfiguracji Nginx do obsługi mediów

Reguły catch-up i timeshift

Dane EPG i logotypy kanałów

Przypisania pakietów/bukietów

Aktualizacje uprawnień subskrybentów

Techniczne: Konfiguracja jest dostarczana jako podpisane ładunki JSON. Agent weryfikuje każdy ładunek przed zastosowaniem. Bez surowego SQL, bez poleceń shell — tylko ustrukturyzowana konfiguracja.

Agent → CASTOVIA Cloud (telemetria)

Stan serwera: CPU, RAM, użycie dysku, I/O sieciowe

Status streamów: aktywne streamy, bitrate, wskaźniki błędów

Status nagrań: aktywne nagrania, użyte miejsce, status ukończenia

Wyniki zadań FFmpeg: zakończenie transkodowania, błędy, rozmiary plików wyjściowych

Liczba połączeń widzów (anonimowa agregacja — bez danych osobowych)

Wersja agenta i dostępność aktualizacji

Techniczne: Telemetria jest wysyłana co 30 sekund przez HTTPS POST. Ładunek jest skompresowany (gzip) i zaszyfrowany. Średni rozmiar: 2–5 KB na interwał.

Podsumowanie sieci

Aspekt	Szczegóły
Protokół	HTTPS (TLS 1.3) z przypinaniem certyfikatu
Port wychodzący	443 (tylko HTTPS)
Porty przychodzące	Nie są wymagane przez CASTOVIA
Heartbeat	Co 30 sekund (2–5 KB po kompresji)
Uwierzytelnianie	Rotowane certyfikaty klienta TLS (rotacja co 7 dni)
Przepustowość	< 1 MB/godzinę dla ruchu zarządzania
Zachowanie offline	Obsługuje buforowaną konfigurację, kolejkowanie telemetrii, automatyczne ponowne połączenie
Ruch streamów	Nigdy nie jest kierowany przez CASTOVIA — pozostaje w Twojej sieci

Czysta deinstalacja

Jeśli usuniesz węzeł, agent całkowicie się wyczyści:

sudo castovia-agent uninstall --purge

Zatrzymuje i usuwa usługę systemd

Usuwa plik binarny z /opt/castovia/

Usuwa całą konfigurację z /etc/castovia/

Usuwa użytkownika systemowego castovia-agent

Unieważnia certyfikat klienta w CASTOVIA Cloud

Bez żadnych pozostałych plików, procesów ani zadań cron

Panel administracyjny Konfiguracja serwera Bezpieczeństwo Jak to działa